Linux中SSH服务配置的全面指南_F11 - 专业站长和开发者的学习网站

APP正在开发中...

返回顶部

分享到

Linux中SSH服务配置的全面指南

linux 来源：互联网作者：佚名发布时间：2025-06-28 21:46:48 人浏览

摘要

作为网络安全工程师，SSH（Secure Shell）服务的安全配置是我们日常工作中不可忽视的重要环节。本文将从基础配置到高级安全加固，全面解析SSH服务的各项参数，帮助您构建更加安全的远程管

作为网络安全工程师，SSH（Secure Shell）服务的安全配置是我们日常工作中不可忽视的重要环节。本文将从基础配置到高级安全加固，全面解析SSH服务的各项参数，帮助您构建更加安全的远程管理环境。

基础配置详解

端口与监听设置

SSH默认监听22端口，这是最容易被攻击者扫描的目标之一。建议修改为1024以上的非标准端口：

1	Port 2222 # 修改默认SSH端口

同时，限制SSH仅监听必要的网络接口：

1	ListenAddress 192.168.1.100 # 仅监听内网接口

主机密钥配置

现代SSH服务支持多种密钥算法，推荐优先使用更安全的Ed25519：

1 2	HostKey /etc/ssh/ssh_host_ed25519_key # 最佳选择 HostKey /etc/ssh/ssh_host_rsa_key # 兼容性选择

安全提示：应禁用已过时的DSA算法，在配置文件中注释掉相关行。

认证机制强化

禁用密码认证

密码认证容易受到暴力破解攻击，强烈建议禁用：

1 2	PasswordAuthentication no # 禁用密码认证 PubkeyAuthentication yes # 启用密钥认证

禁止root直接登录

防止攻击者直接针对root账户进行攻击：

1	PermitRootLogin no # 禁止root直接登录

实现双因素认证(2FA)

结合Google Authenticator增加额外安全层：

# 安装所需软件

sudo apt install libpam-google-authenticator

# 配置SSH使用双因素认证

ChallengeResponseAuthentication yes

AuthenticationMethods publickey,keyboard-interactive

访问控制策略

用户/IP白名单

限制允许访问SSH的用户和IP范围：

1 2	# 允许user1在任何位置访问，user2仅限内网访问 AllowUsers user1 user2@192.168..

防火墙规则配置

使用ufw限制SSH访问来源：

1 2	# 仅允许内网访问SSH端口 sudo ufw allow from 192.168.1.0/24 to any port 2222

登录频率限制

安装Fail2ban防御暴力破解：

# 安装Fail2ban

sudo apt install fail2ban

# 配置示例(/etc/fail2ban/jail.local)

[sshd]

enabled = true

port = 2222

filter = sshd

logpath = /var/log/auth.log

maxretry = 3

findtime = 30

bantime = 3600

密钥管理最佳实践

密钥生成规范

使用高强度算法生成密钥对：

# 使用ed25519算法（推荐）

ssh-keygen -t ed25519 -a 100

# 使用RSA算法（兼容性更好）

ssh-keygen -t rsa -b 4096

文件权限控制

确保SSH相关文件有正确的权限设置：

chmod 700 ~/.ssh

chmod 600 ~/.ssh/authorized_keys

chmod 600 ~/.ssh/id_ed25519

chmod 644 ~/.ssh/id_ed25519.pub

高级安全配置

加密算法配置

限制使用强加密算法，禁用弱算法：

# 加密算法配置

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com

会话超时设置

减少空闲会话保持时间，降低被劫持风险：

# 客户端保持活动状态检查

ClientAliveInterval 300

ClientAliveCountMax 2

# 登录超时时间

LoginGraceTime 1m

运维管理建议

定期更新：保持OpenSSH服务更新到最新版本
日志监控：配置集中式日志收集，监控异常登录尝试
密钥轮换：定期更换服务器和用户密钥（建议每6-12个月）
审计配置：定期检查sshd_config文件变更
备份策略：备份服务器密钥和授权密钥文件

总结

通过本文介绍的多层次安全配置，您可以将SSH服务的安全性提升到专业级别。记住，安全是一个持续的过程，而非一次性配置。建议每季度复查一次SSH配置，并根据最新的安全威胁调整防御策略。

最后建议：在生产环境实施任何重大变更前，请先在测试环境验证，并确保保留至少一个活动会话作为备用连接方式，避免因配置错误导致无法远程访问服务器。

您可能感兴趣的文章 :

原文链接 :

Tag :

Linux中SSH服务配置的全面指南

作为网络安全工程师，SSH（Secure Shell）服务的安全配置是我们日常工作中不可忽视的重要环节。本文将从基础配置到高级安全加固，全面解
Linux nmcli设置bond的过程

nmcli是NetworkManager提供的网络管理工具，nmcli设置的bond可以持久化，因为会写入配置文件，下面我们就来通过nmcli来配置bond聚合口。 2、配置
解决CentOS7下yum失效问题

centos7已经停止支持，yum源也失效了，但是我们服务用的都是CentOS7 ，也不会轻易升级。so 我们只能找找替代方案，很幸运发现阿里云的yum源
在Linux终端中统计非二进制文件行数的实现方法

在Linux终端中统计非二进制文件的行数技术背景在Linux系统中，有时需要统计非二进制文件（如CSV、TXT文件）的行数，而不希望手动打开文
Linux查看当前系统的IP地址的常见方法

在Linux系统中，有多种方法可以查看当前系统的IP地址。以下是几种常见的方法：方法一：使用ifconfig命令 ifconfig是一个常用的网络配置工具
Linux脚本(shell)的使用方式

脚本：本质是一个文件，文件里面存放的是特定格式的指令，系统可以使用脚本解析器翻译或解析指令并执行（它不需要编译） shell 既是一
安装centos8设置基础软件仓库时出错的解决方案

安装centos8设置基础软件仓库时出错安装时没截图找个centos7的图,将URL换成下方自己的版本版本 8 1 mirrors.aliyun.com/centos/8/BaseOS/x86_64/os/ 版本
Linux基础命令@grep、wc、管道符的使用介绍

grep 概念 grep 是一个在Unix和类Unix系统中广泛使用的文本搜索工具，用于在文件中查找包含特定模式的文本行。其名称来源于Global Regular Exp
CentOS 7 YUM源配置错误的解决方法

在使用虚拟机安装CentOS7 系统时，我们可能会遇到YUM 源配置错误的问题，导致无法正常下载软件包。例如，当我们执行yum install命令时，可能
Linux下安装Anaconda3全过程

Anaconda是一个开源的包、环境管理器，可以用于在同一个机器上安装不同版本的软件包及其依赖，并能够在不同的环境之间切换 Anaconda包括

Linux中SSH服务配置的全面指南

基础配置详解

端口与监听设置

主机密钥配置

认证机制强化

禁用密码认证

禁止root直接登录

实现双因素认证(2FA)

访问控制策略

用户/IP白名单

防火墙规则配置

登录频率限制

密钥管理最佳实践

密钥生成规范

文件权限控制

高级安全配置

加密算法配置

会话超时设置

运维管理建议

总结

您可能感兴趣的文章 :

Linux中SSH服务配置的全面指南

Linux nmcli设置bond的过程

解决CentOS7下yum失效问题

在Linux终端中统计非二进制文件行数的实现方法

Linux查看当前系统的IP地址的常见方法

Linux脚本(shell)的使用方式

安装centos8设置基础软件仓库时出错的解决方案

Linux基础命令@grep、wc、管道符的使用介绍

CentOS 7 YUM源配置错误的解决方法

Linux下安装Anaconda3全过程

linux下端口被占用问题以及解除方式介

Linux文件系统之缓冲区介绍

Linux命令之mkdir，cat，touch，vi/vim的介

解决生产环境遇到的curl和yum命令报错

xshell5使用ssh连接阿里云服务器的教程