linux ssh安全需从访问控制、身份认证、服务加固、日志审计四维度系统落实:禁用密码登录、强制密钥认证;限制用户与IP;修改端口、禁用SSHv1、收紧加密套件;启用fail2ban监控封禁。
Linux SSH 安全不是靠一两个配置就能搞定的,而是需要从访问控制、身份认证、服务加固、日志审计四个维度系统性落实。以下流程适用于所有生产或准生产环境,不依赖特定发行版,适配 OpenSSH 7.0+(主流 centos/RHEL 8+、ubuntu 20.04+、debian 11+ 均默认满足)。
禁用密码登录,强制使用密钥认证
密码登录是暴力破解的主入口,必须关闭。仅保留经过验证的 SSH 密钥对访问。
- 生成强密钥:本地执行
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519(优先选 ed25519,比 rsa 更快更安全) - 上传公钥到服务器:
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip - 编辑
/etc/ssh/sshd_config,确认以下三行已设置并取消注释:
PubkeyAuthentication yes<br>PasswordAuthentication no<br>PermitEmptyPasswords no
重启服务:sudo systemctl restart sshd,新连接将只接受密钥登录。
限制登录用户与来源IP
最小权限原则:谁可以连、从哪连,必须明确限定,避免“全网可入”风险。
- 只允许特定用户登录:在
sshd_config中添加AllowUsers deploy admin@192.168.10.*(支持用户名+IP段组合) - 禁止高危账户登录:添加
DenyUsers root guest(root 默认禁用,但显式声明更稳妥) - 结合防火墙做网络层收敛:用
ufw或iptables限制 22 端口仅开放给运维跳板机或办公出口IP
例如:sudo ufw allow from 203.0.113.44 to any port 22,再 sudo ufw enable。
改默认端口 + 禁用协议v1和弱加密套件
虽然“端口隐蔽”不是真正安全,但能过滤掉大量自动化扫描;同时淘汰老旧协议和易被破解的算法。
- 修改端口:在
sshd_config中设Port 22222(避开 1–1024 需 root 权限,建议 >1024),然后更新防火墙放行新端口 - 禁用 SSHv1:
Protocol 2(确保只启用 v2) - 收紧加密配置(追加或替换原有 Ciphers/macs/KexAlgorithms):
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com<br>MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com<br>KexAlgorithms curve25519-sha256,ecdh-sha2-nistp521
配置后运行 sudo sshd -t 校验语法,无报错再重启。
启用失败登录监控与自动封锁
防爆破不能只靠“关密码”,要主动识别异常行为并响应。
- 开启详细登录日志:确保
/etc/ssh/sshd_config中有LogLevel VERBOSE(或 INFO) - 用
fail2ban自动封禁:安装后启用 sshd 过滤器,调整jail.local中maxretry = 3、bantime = 1h - 配合日志轮转与集中收集:将
/var/log/auth.log或/var/log/secure接入 elk/Splunk 或定时邮件摘要关键事件
验证是否生效:可故意输错三次密码,然后查 sudo fail2ban-client status sshd 看 IP 是否在 banlist 中。
基本上就这些。每一步都可独立实施,但只有全部落地才构成有效防线。不复杂,但容易忽略细节——比如改了端口忘了开防火墙,或者关了密码却没验证密钥能否真正登录。上线前务必用新终端测试,别把自己锁在外面。