Linux Trigger：怎样提高SSH安全性

1. 修改SSH默认端口
SSH默认使用22端口，这是黑客最常扫描的目标之一。通过修改为非标准端口（如12345、2222等），可显著降低自动化扫描工具的探测概率。操作步骤：编辑/etc/ssh/sshd_config文件，找到#Port 22行，取消注释并将端口改为未使用的端口（如Port 2222）；保存后重启SSH服务（systemctl restart sshd）；若服务器启用了防火墙，需同步更新规则（如firewall-cmd --permanent --zone=public --add-port=2222/tcp，然后firewall-cmd --reload）。

2. 禁用Root用户直接登录
Root用户拥有最高权限，直接通过SSH登录风险极高。建议创建普通用户（如ssh_user）并通过sudo执行管理任务。操作步骤：编辑/etc/ssh/sshd_config文件，找到PermitRootLogin yes行，修改为PermitRootLogin no；重启SSH服务使设置生效。

3. 启用SSH密钥认证并禁用密码认证
密码认证易受暴力破解攻击，而密钥认证（公钥+私钥）更安全。操作步骤：在客户端生成密钥对（ssh-keygen -t rsa -b 4096，默认保存在~/.ssh目录）；将公钥复制到服务器（ssh-copy-id user@server_ip，或手动将id_rsa.pub内容追加到服务器~/.ssh/authorized_keys文件）；编辑/etc/ssh/sshd_config文件，设置PubkeyAuthentication yes（启用密钥认证）、PasswordAuthentication no（禁用密码认证）；重启SSH服务。

4. 限制SSH登录用户或用户组
通过限制可登录的用户或用户组，缩小攻击面。操作步骤：编辑/etc/ssh/sshd_config文件，添加AllowUsers user1 user2（仅允许user1和user2登录）或AllowGroups sshusers（仅允许sshusers组的用户登录）；重启SSH服务。

5. 配置登录尝试次数限制与空闲超时
限制登录尝试次数可防止暴力破解，空闲超时可避免会话被劫持。操作步骤：编辑/etc/ssh/sshd_config文件，设置MaxAuthTries 5（最多允许5次登录尝试，超过则断开）、ClientAliveInterval 300（每5分钟发送一次保活探测）、ClientAliveCountMax 3（3次无响应则断开连接）；重启SSH服务。

6. 关闭不必要的SSH认证方式
禁用GSSAPI、密码等不必要的认证方式，减少潜在安全风险。操作步骤：编辑/etc/ssh/sshd_config文件，设置GSSAPIAuthentication no（关闭GSSAPI认证）、PasswordAuthentication no（已禁用密码认证）；重启SSH服务。

7. 使用fail2ban防范暴力破解
fail2ban可监控SSH日志，自动封禁多次登录失败的IP地址。操作步骤：安装fail2ban（apt install fail2ban或yum install fail2ban）；编辑/etc/fail2ban/jail.local文件，添加[sshd] section（enabled = true、port = ssh、filter = sshd、logpath = /var/log/auth.log、maxretry = 5、bantime = 3600，即5次失败后封禁1小时）；重启fail2ban服务（systemctl restart fail2ban）。

8. 加强日志记录与监控
详细的日志可帮助及时发现异常登录行为。操作步骤：编辑/etc/rsyslog.conf文件，添加authpriv.* /var/log/ssh.log（将SSH日志定向到单独文件）；重启rsyslog服务（systemctl restart rsyslog）；定期检查/var/log/ssh.log文件，关注登录失败、异常IP等记录。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！