SSH基础配置实战
OpenSSH服务端安装需执行sudo apt-get install openssh-server命令,配置文件路径为/etc/ssh/sshd_config。建议修改默认22端口为高位端口(如2222)并重启服务,通过Port 2222指令实现。
| 参数 | 说明 |
|---|---|
| PasswordAuthentication | 禁用密码认证时设为no |
| PermitRootLogin | 禁止root登录建议设为prohibit-password |
| MaxAuthTries | 限制认证尝试次数 |
密钥管理最佳实践
推荐使用ED25519算法生成密钥对:ssh-keygen -t ed25519,将公钥部署至服务器~/.ssh/authorized_keys文件。实现免密登录需执行ssh-copy-id user@host或手动追加公钥。
- 客户端生成密钥对(默认存储路径~/.ssh)
- 服务端创建.ssh目录并设置700权限
- 客户端公钥追加至服务端authorized_keys文件
- 配置文件启用
PubkeyAuthentication yes
端口优化与安全加固
修改默认端口后需同步更新防火墙规则,Ubuntu系统建议使用ufw:sudo ufw allow 2222/tcp。结合TCP Wrappers可配置访问白名单,在/etc/hosts.allow添加sshd: 192.168.1.0/24实现子网限制。
- 禁用SSHv1协议支持
- 启用双因子认证机制
- 配置登录失败自动封锁(如fail2ban)
- 定期轮换服务器主机密钥
通过端口非标化、密钥认证强制化、访问控制精细化三层次防护,可显著提升SSH服务安全性。建议每月审查认证日志,结合自动化工具实现配置合规检查,形成完整的安全运维闭环。
