news 2026/7/7 1:16:52

【安全与故障排查】02-SSH安全最佳实践:禁密码+密钥+端口+防暴破

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
【安全与故障排查】02-SSH安全最佳实践:禁密码+密钥+端口+防暴破

SSH 安全最佳实践:禁密码 + 密钥 + 端口 + 防暴破

专栏:安全 & 故障排查
难度:入门
标签:SSH安全密钥登录fail2ban服务器安全


前言

SSH 是服务器的大门,是攻击者最常盯着的目标。本文从密钥配置到 fail2ban 防暴破,建立一套完整的 SSH 安全防护体系。


一、生成并配置 SSH 密钥对

# 本地生成ED25519密钥对(比RSA更安全,更短)ssh-keygen-ted25519-C"your_email@example.com"# 保存到:~/.ssh/id_ed25519(私钥)和 ~/.ssh/id_ed25519.pub(公钥)# 将公钥上传到服务器ssh-copy-id-i~/.ssh/id_ed25519.pub user@server_ip# 或手动复制cat~/.ssh/id_ed25519.pub>>~/.ssh/authorized_keyschmod600~/.ssh/authorized_keyschmod700~/.ssh

二、sshd_config 完整安全配置

cat>/etc/ssh/sshd_config<<'EOF' # 监听端口(改掉22) Port 22022 # 只监听IPv4(视环境调整) AddressFamily inet # 认证配置 PermitRootLogin no # 禁止root登录 PasswordAuthentication no # 禁止密码登录 PubkeyAuthentication yes # 启用密钥登录 AuthorizedKeysFile .ssh/authorized_keys # 只允许特定用户SSH AllowUsers appuser devuser # 白名单,只允许这些用户 # 安全加固 MaxAuthTries 3 # 最多3次认证尝试 MaxSessions 10 # 最多10个会话 LoginGraceTime 30 # 30秒内必须完成认证 ClientAliveInterval 300 # 空闲300秒发送keepalive ClientAliveCountMax 2 # 2次无响应后断开 TCPKeepAlive yes # 禁用危险功能 X11Forwarding no AllowAgentForwarding no AllowTcpForwarding no PermitTunnel no # 加密套件(只用强加密) KexAlgorithms curve25519-sha256,diffie-hellman-group16-sha512 Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com MACs hmac-sha2-512,hmac-sha2-256 # 日志级别 LogLevel VERBOSE # Banner Banner /etc/ssh/banner.txt EOF# 重启SSH(务必先测试配置!)sshd-t&&systemctl restart sshd

三、SSH 多因素认证(2FA)

# 安装Google Authenticatoryuminstall-ygoogle-authenticator# CentOSaptinstall-ylibpam-google-authenticator# Ubuntu# 为用户配置2FAgoogle-authenticator# 按提示扫描二维码# 编辑 /etc/pam.d/sshd,添加auth required pam_google_authenticator.so# sshd_config中开启ChallengeResponseAuthenticationyes

四、Fail2ban 防暴力破解

# 安装yuminstall-yfail2ban# CentOSaptinstall-yfail2ban# Ubuntu# 配置 /etc/fail2ban/jail.localcat>/etc/fail2ban/jail.local<<'EOF' [DEFAULT] bantime = 3600 # 封禁1小时 findtime = 600 # 10分钟内 maxretry = 3 # 失败3次触发封禁 [sshd] enabled = true port = 22022 # 和SSH端口一致 logpath = %(sshd_log)s backend = %(sshd_backend)s # 永久封禁IP(需要白名单) [sshd-permanent] enabled = true filter = sshd bantime = -1 # -1 = 永久 maxretry = 5 EOFsystemctlenable--nowfail2ban# 查看封禁列表fail2ban-client status sshd# 手动解封fail2ban-clientsetsshd unbanip1.2.3.4

五、SSH 跳板机配置(最佳实践)

外网 → 跳板机(Bastion Host)→ 内网服务器 好处: 1. 内网服务器不对外暴露SSH端口 2. 所有登录行为集中审计 3. 密钥只需要维护一份
# ~/.ssh/config(本地配置,透明跳板)Host bastion HostName bastion.example.com Port22022User devuser IdentityFile ~/.ssh/id_ed25519 Host10.0.0.* User appuser IdentityFile ~/.ssh/id_ed25519 ProxyJump bastion# 通过bastion跳转

结语:SSH 安全的核心三件套:密钥替换密码、fail2ban 防暴破、跳板机控制入口。三个全上,SSH 入侵风险降低99%。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 1:16:42

以色列独立研究员揭示多智能体AI系统中“过度纠错“的危险陷阱

这篇研究由来自以色列特拉维夫的独立研究员发布于2026年6月&#xff0c;以预印本形式提交至arXiv平台&#xff0c;编号为arXiv:2606.27409&#xff0c;分类于计算机科学多智能体方向&#xff08;cs.MA&#xff09;。有兴趣深入了解的读者可通过该编号在arXiv上查阅完整论文。一…

作者头像 李华
网站建设 2026/7/7 1:16:14

芯片 I/O Die 与 Memory Cell 功耗建模:3 种方案对比与 GDS 抽取精度分析

芯片 I/O Die 与 Memory Cell 功耗建模&#xff1a;3 种方案对比与 GDS 抽取精度分析在当今高性能计算和人工智能芯片设计中&#xff0c;功耗已成为制约性能提升的关键瓶颈之一。据统计&#xff0c;先进制程芯片中I/O和Memory模块的功耗占比可达总功耗的30%-50%&#xff0c;这使…

作者头像 李华
网站建设 2026/7/7 1:15:33

PADS VX2.8 BGA扇出规则对比:十字通道、米字通道与四分之一圆周的3种策略

PADS VX2.8 BGA扇出策略深度解析&#xff1a;十字、米字与四分之一圆周的工程实践在高速PCB设计中&#xff0c;BGA封装器件的扇出策略直接影响着布线成功率、信号完整性和生产良率。本文将深入探讨PADS VX2.8环境下三种主流BGA扇出方法——十字通道、米字通道和四分之一圆周的技…

作者头像 李华
网站建设 2026/7/7 1:10:38

Allegro PCB 17.4 实战:5步高效导入DXF结构图与3个常见错误排查

Allegro PCB 17.4实战&#xff1a;5步高效导入DXF结构图与3个常见错误排查 在PCB设计流程中&#xff0c;结构图&#xff08;DXF文件&#xff09;的准确导入是确保机械与电气设计完美协同的关键第一步。对于刚接触Allegro的工程师而言&#xff0c;这一看似简单的操作却暗藏诸多技…

作者头像 李华
网站建设 2026/7/7 1:05:28

PCF8591与PIC18LF26K22嵌入式信号处理实战指南

1. 硬件选型与系统架构设计PCF8591和PIC18LF26K22这对组合在嵌入式信号处理领域堪称经典搭档。PCF8591作为一款集成了4通道8位ADC和单通道8位DAC的混合信号转换器&#xff0c;通过I2C接口与主控芯片通信&#xff0c;极大简化了系统设计。而PIC18LF26K22则是Microchip公司推出的…

作者头像 李华
网站建设 2026/7/7 1:04:29

KES 监控与运维自动化实战:性能指标采集、告警体系与智能运维

KES 监控与运维自动化实战&#xff1a;性能指标采集、告警体系与智能运维 前言 数据库系统的稳定运行离不开完善的监控体系和高效的运维管理。随着业务规模的扩大&#xff0c;传统的人工运维方式已经难以应对复杂的监控需求和故障场景。建立自动化的监控告警体系&#xff0c;实…

作者头像 李华