修改SSH端口、禁用root登录、启用密钥认证、限制用户访问并配置Fail2ban可显著提升服务器安全性。
如果您尝试通过SSH远程管理Linux服务器,但担心存在未授权访问或暴力破解风险,则可能是由于默认配置缺乏足够的安全防护。以下是提升SSH服务安全性的具体操作步骤:
本文运行环境:Dell PowerEdge R750,Ubuntu 22.04 Server。
一、修改SSH默认端口
更改默认的SSH端口可以有效减少自动化扫描和机器人攻击,因为大多数恶意程序会针对默认的22端口进行探测。
1、使用文本编辑器打开SSH主配置文件:sudo nano /etc/ssh/sshd_config。
2、找到包含 Port 22 的行,将其修改为一个非特权端口,例如 Port 22222。
3、保存并关闭文件后,重启SSH服务以应用更改:sudo systemctl restart ssh。
4、确保防火墙规则已更新以允许新端口通信。
二、禁用root用户直接登录
禁止root用户通过SSH直接登录可防止攻击者直接获取最高权限账户的访问机会,强制使用普通用户登录后再提权,增加安全性。
1、编辑SSH配置文件:sudo nano /etc/ssh/sshd_config。
2、查找 PermitRootLogin 参数,并将其值设置为 no。
3、保存更改并重启SSH服务:sudo systemctl restart ssh。
三、启用密钥认证并禁用密码登录
使用SSH密钥对进行身份验证比密码更安全,能有效抵御暴力破解攻击。在完成密钥部署后,可安全地关闭密码登录功能。
1、在本地机器上生成SSH密钥对:ssh-keygen -t ed25519。
2、将公钥上传至服务器:ssh-copy-id user@server_ip -p [custom_port]。
3、确认密钥登录成功后,编辑配置文件:sudo nano /etc/ssh/sshd_config。
4、将 PasswordAuthentication 设置为 no。
5、重启SSH服务使设置生效。
四、限制允许登录的用户账户
仅允许可信用户通过SSH访问系统,能够显著缩小潜在攻击面,避免未知账户被利用。
1、编辑SSH配置文件:sudo nano /etc/ssh/sshd_config。
2、在文件末尾添加 AllowUsers username1 username2,替换为实际需要的用户名。
3、保存文件并执行:sudo systemctl restart ssh 来加载新规则。
五、配置基于Fail2ban的自动封禁机制
Fail2ban可监控SSH登录尝试,自动将频繁失败的IP地址加入防火墙黑名单,从而阻止暴力破解行为。
1、安装Fail2ban工具:sudo apt install fail2ban -y。
2、复制默认配置文件创建本地策略:sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local。
3、编辑 jail.local 文件,确保 [sshd] 段落中启用了 enabled = true。
4、根据需要调整最大尝试次数和封禁时长,然后重启服务:sudo systemctl restart fail2ban。
