改端口和禁root登录是最简单有效的第一道防线,需修改sshd_config中Port为高位端口(如22022)、PermitRootLogin no,并用密钥认证替代密码登录,再配合Fail2ban与UFW双重防护。
改端口 + 禁 root 登录是最简单有效的第一道防线
暴力破解工具默认扫 22 端口、狂试 root 账号,这两项关掉,90% 的自动化攻击会直接跳过你的服务器。
- 编辑
/etc/ssh/sshd_config,把Port 22改成比如Port 22022(选 10000–65535 之间的高位端口,避开常见扫描范围) - 确认
PermitRootLogin no已启用,且已创建普通用户并加进sudo组(如usermod -aG sudo deploy) -
务必新开一个终端,用新用户连一次再 reload 服务:运行
systemctl reload sshd,不是restart,避免配置错误导致锁死
必须用密钥登录,彻底绕过密码环节
只要还开着 PasswordAuthentication yes,再复杂的密码也扛不住字典穷举;而密钥认证本身不传输密码,也不受重放或中间人影响。
- 客户端生成密钥建议用
ssh-keygen -t ed25519 -C "me@work"(比 RSA 更快更安全) - 上传公钥别只靠
ssh-copy-id—— 它可能因权限问题失败;手动执行更稳:mkdir -p ~/.ssh && chmod 700 ~/.ssh && echo "your_public_key_here" >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys - 最后在
sshd_config中设PasswordAuthentication no,再systemctl reload sshd
Fail2ban 不是万能的,但配错就等于没开
它本质是日志分析器+防火墙联动工具,不解决根本漏洞,但能拦住那些漏网的试探性连接。关键是别直接改 jail.conf,升级时会被覆盖;也别忽略白名单,否则自己运维 IP 被误封就尴尬了。
- 先复制出本地配置:
cp /etc/fail2ban/jail.{conf,local} - 在
[sshd]段里确保:enabled = true、port = 22022(必须和你改的 SSH 端口一致)、logpath = /var/log/auth.log(Ubuntu/Debian)或/var/log/secure(RHEL/CentOS) -
ignoreip至少加上你自己的公网 IP 和内网段,例如ignoreip = 127.0.0.1/8 192.168.1.0/24 203.0.113.42 - 重启后用
fail2ban-client status sshd查是否生效,别只看服务状态
UFW 防火墙是最后一层兜底,但默认策略要设对
Fail2ban 封的是 IP,UFW 控的是端口通路。两者叠加才能让攻击者既连不上,又连上了也进不去——尤其当 Fail2ban 因日志路径错或 filter 不匹配而静默失效时,UFW 还能守住大门。
- 启用前先清空旧规则:
ufw reset,避免冲突 - 设默认策略:
ufw default deny incoming(不是deny outgoing,那会断掉 apt/yum) - 只放行必要端口:
ufw allow 22022/tcp(对应你改的 SSH 端口),ufw allow OpenSSH会自动识别当前配置,但不如显式写端口可靠 - 启用后立刻验证:
ufw status verbose看输出里有没有22022和ALLOW IN字样
最容易被忽略的是:所有改动都依赖日志路径、端口、用户权限三者严格一致。比如 Fail2ban 的 logpath 指向了 /var/log/auth.log,但系统实际往 /var/log/secure 写,那它就永远看不到失败登录——这种“看起来开了,其实没起作用”的情况,比完全不配更危险。
