AI导读

SSH是管理Linux服务器的主要方式，SSH安全直接关系到服务器安全。本文为平桥�企业详解SSH安全配置的实用技巧，防止服务器被入侵。

一、SSH密钥认证配置

密码认证容易被暴力破解，密钥认证是更安全的方式。密钥对包括公钥和私钥，公钥放在服务器上，私钥保存在本地。

生成密钥对：ssh-keygen -t ed25519 -C "your_email@example.com"，一路回车完成。公钥默认保存在~/.ssh/id_ed25519.pub。

将公钥上传到服务器：ssh-copy-id user@server_ip，然后输入密码即可自动配置。之后连接时使用密钥认证，无需输入密码。

二、禁用密码和Root登录

编辑SSH配置文件：sudo vim /etc/ssh/sshd_config

禁用密码认证：PasswordAuthentication no，禁用Root登录：PermitRootLogin no

修改完成后重启SSH服务：sudo systemctl restart sshd。注意：确保密钥认证配置成功后再禁用密码认证，否则可能导致无法登录。

三、更换默认SSH端口

SSH默认使用22端口，修改为非标准端口可以减少自动化扫描攻击。修改Port参数，如Port 2222

注意：修改后使用新端口连接，如ssh -p 2222 user@server_ip。同时确保新端口在防火墙中开放。

四、限制登录来源IP

通过防火墙限制SSH只允许特定IP访问。iptables规则：iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT

使用云服务商安全组：只允许运维人员IP访问SSH端口，从网络层面阻断未授权访问。

五、SSH安全最佳实践

使用强密码保护私钥：ssh-keygen生成密钥时设置passphrase，即使私钥泄露没有密码也无法使用。

定期更换密钥：建议每半年或一年更换一次密钥对，旧的公钥从服务器删除。

使用SSH证书：相比密钥对，SSH证书可以集中管理权限，适合多服务器管理场景。

总结

SSH安全是服务器防护的第一道防线。平桥�企业应配置密钥认证、禁用密码登录、限制来源IP、定期更换密钥，全方位保护SSH访问安全。