SSH 安全实战:配置加固、防爆破与二次验证!

遇见火星2025-12-03 10:26

目录:

一、引言

二、sshd 服务配置加固

三、基于 IP 的访问控制(hosts.allow/hosts.deny)

  1. 默认拒绝所有外部访问

  2. 允许指定源 IP 地址

四、fail2ban: 动态防御暴力破解

  1. 安装 fail2ban

  2. 配置规则

  3. 启动与验证

五、Google Authenticator:二次认证(2FA)

  1. 安装并初始化

  2. 修改 PAM 验证模块

  3. 启用质询响应

  4. 重启 sshd 服务

  5. 登录流程

六、总结

一、引言

SSH 是 Linux 系统中最基础且最常被攻击的远程访问协议。任何暴露在公网的 SSH 服务都可能在短时间内遭受端口扫描与暴力破解尝试。本篇文章旨在从 服务配置、访问控制、行为防御与多因素认证 四个方面,系统性提升 SSH 服务的安全性。

二、sshd 服务配置加固

文件位置:/etc/ssh/sshd_config

配置项 推荐值 说明
Port 非默认端口,如 22922 减少被扫描概率
PermitRootLogin no 禁止 root 用户登录
PasswordAuthentication no 禁止密码认证,仅使用密钥认证
AllowUsers opsuser 限定允许登录的账户名
MaxAuthTries 3 限制登录尝试次数
LoginGraceTime 30 限制认证超时时间
X11Forwarding no 禁止图形转发
AllowTcpForwarding no 禁止 TCP 转发

修改后执行 systemctl restart sshd 使配置生效。

三、基于 IP 的访问控制(hosts.allow/hosts.deny)

文件位置:

  • /etc/hosts.allow

  • /etc/hosts.deny

这两份文件属于 TCP Wrapper 控制机制(sshd 默认支持)。

1. 默认拒绝所有外部访问

/etc/hosts.deny 中写入:

复制代码 
sshd: ALL

2. 允许指定源 IP 地址

/etc/hosts.allow 中写入:

复制代码 
sshd: 10.10.10.0/24,10.188.188.188

支持配置网段和单个 IP 地址,无论你是一行写多个地址,还是分行列出来,hosts.allow 都能正常识别,效果完全一样。配置方式可以根据你自己的习惯来。

复制代码 
sshd: 10.10.10.0/24
sshd: 10.188.188.188

四、fail2ban: 动态防御暴力破解

fail2ban 通过监控日志文件自动封禁异常 IP。

1. 安装 fail2ban

复制代码 
apt -y install fail2ban

2. 配置规则

新建 /etc/fail2ban/jail.local

复制代码 
[sshd]
enabled  = true
port     = 22
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3
findtime = 10m
bantime  = 1h

3. 启动与验证

fail2ban 会基于日志匹配封禁源 IP,防御大多数自动化爆破工具。

五、Google Authenticator:二次认证(2FA)

1. 安装并初始化

复制代码 
apt install libpam-google-authenticator
google-authenticator

扫描生成的二维码并保存应急码。

2. 修改 PAM 验证模块

编辑 /etc/pam.d/sshd

在顶部添加:

复制代码 
auth required pam_google_authenticator.so

3. 启用查询响应

编辑 /etc/ssh/sshd_config

复制代码 
ChallengeResponseAuthentication yes

4. 重启 sshd 服务

复制代码 
systemctl restart sshd

5. 登录流程

  • Verification code --> Password

  • 任何单一凭据泄露都不足以登录系统

六、总结

安全与便捷从来是一对对立的矛盾。 SSH 加固的每一步操作------无论是禁用密码登录、限制来源 IP,还是启用二次认证------都会让远程登录变得更加繁琐。 但这正是安全的本质:牺牲效率,换取确定性

对于生产环境而言,SSH 并不只是一个"登录入口",而是系统边界的最后防线。 一个未做限制的端口、一个共享的密钥文件、一次被遗忘的测试账户,都可能成为入侵的切入点。

所以,在安全与便捷之间,理性的选择不是偏向任何一端,而是明确权衡边界

  • 在个人环境,可以降低部分约束、保留便捷;

  • 在服务器生产环境,应优先考虑最小暴露面与最小权限;

  • 在企业或多用户环境,应引入集中密钥管理与审计机制。

相关推荐
埃博拉酱2 天前
VS Code Remote SSH 连接 Windows 服务器卡在"下载 VS Code 服务器":prcdn DNS 解析失败的诊断与 BITS 断点续传
windows·ssh·visual studio code
一次旅行2 天前
网络安全总结
安全·web安全
西岸行者2 天前
学习笔记:SKILLS 能帮助更好的vibe coding
笔记·学习
red1giant_star2 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
starlaky2 天前
Django入门笔记
笔记·django
勇气要爆发2 天前
吴恩达《LangChain LLM 应用开发精读笔记》1-Introduction_介绍
笔记·langchain·吴恩达
悠哉悠哉愿意2 天前
【单片机学习笔记】串口、超声波、NE555的同时使用
笔记·单片机·学习
zhangfeng11332 天前
趋动云 如何ssh登录 服务区 项目server
运维·人工智能·ssh
勇气要爆发2 天前
吴恩达《LangChain LLM 应用开发精读笔记》2-Models, Prompts and Parsers 模型、提示和解析器
android·笔记·langchain
ZeroNews内网穿透2 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤05OpenClaw + 飞书(Feishu)环境搭建指南06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南08Window 10部署openclaw报错node.exe : npm error code 12809AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot10OpenClaw优化飞书API 额度已耗尽问题