服务器SSH设置真能防黑客?手把手教你安全锁门,SSH设置,如何为服务器安全锁门,抵御黑客入侵?
"每次连服务器都卡成PPT?密码输错三次就被封IP?" 这可能是每个新手管理员的噩梦!
上周遇到个开电商的小哥,他说刚买的云服务器被暴力破解,客户数据差点泄露。这让我想起十年前自己第一次搭站——用默认端口22和root账号,结果三天就被植入了挖矿程序。今天咱们就唠唠,怎么给服务器的SSH(安全外壳协议)上把"防盗锁",从安装到配置一站式搞定,让你告别提心吊胆的日子。
(突然拍大腿)先泼盆冷水:SSH不是装完就能用,默认配置就像家门不锁——黑客分分钟溜进来!
一、安装SSH:比装APP还简单
1. 选对安装包就像挑钥匙
- Ubuntu/Debian:
sudo apt update && sudo apt install openssh-server - CentOS/RHEL:
sudo yum install openssh-server - 装完别跑:立刻检查状态
sudo systemctl status ssh,看到"active (running)"才算成功
举个🌰:某萌新漏了apt update直接安装,结果装了2018年的老版本,安全漏洞多得像筛子。
2. 首次启动必做三件事
| 操作 | 命令 | 作用 |
|---|---|---|
| 改默认端口 | Port 5922 | 躲开80%自动化攻击 |
| 禁用root登录 | PermitRootLogin no | 防止最高权限被爆破 |
| 关密码登录 | PasswordAuthentication no | 逼你用更安全的密钥 |
(敲黑板)配置文件在/etc/ssh/sshd_config,改前先备份!上周有人手滑删了配置,连夜打 *** 电话。
二、密钥认证:比指纹锁更靠谱
1. 生成密钥就像配钥匙
bash复制ssh-keygen -t ed25519 -C "你的邮箱"
- 一路回车别设密码(新手先体验便利性)
- 生成的两个文件:
id_ed25519(私钥)和id_ed25519.pub(公钥)
有个骚操作:把私钥存进U盘物理隔离,比网盘安全100倍。
2. 上传公钥就像寄存钥匙
bash复制ssh-copy-id -i ~/.ssh/id_ed25519.pub 用户名@服务器IP -p 5922
- 遇到"Permission denied"?先临时开启密码登录
- 成功后检查
~/.ssh/authorized_keys,公钥应该在最后一行
血泪教训:某博主复制公钥时漏了个字母,折腾三小时才连上。
三、防火墙:给网络大门加岗哨
1. 开端口就像发通行证
- ufw党:
sudo ufw allow 5922/tcp - iptables党:
sudo iptables -A INPUT -p tcp --dport 5922 -j ACCEPT - 永久生效别忘了:
sudo iptables-save > /etc/iptables/rules.v4
反常识发现:开端口后反而更安全——因为黑客懒得扫非标准端口。
2. 防暴破三件套
- Fail2Ban:自动封禁连续输错的IP
- Google认证:二次验证(适合高级玩家)
- IP白名单:
AllowUsers 用户名@123.45.67.*
去年某游戏公司没装Fail2Ban,被同一个IP试了十万次密码。
四、连接测试:最后的验收环节
1. 本地连接命令
bash复制ssh -i ~/.ssh/id_ed25519 用户名@服务器IP -p 5922
- 首次连接选"yes"保存指纹
- 出现
Welcome to Ubuntu!就是成功
(突然卡壳)如果提示"Connection refused",八成是防火墙没开端口。
2. 远程管理神器
- Termius:手机也能管理服务器
- MobaXterm:自带SFTP文件传输
- VS Code远程插件:边写代码边调试
有个细节:用ssh -v参数能看到详细连接过程,排错神器。
五、灵魂拷问:这些设置真有必要?
Q:改端口是不是多此一举?
A:2024年黑产报告显示,22端口每天被扫描2.4亿次。改个冷门端口能过滤90%脚本小子,就像你家大门换个锁。
Q:不用密码怎么登陆?
A:密钥比密码安全在哪?举个🌰:密码像钥匙扣上的实体钥匙,可能被偷看或复制;密钥像指纹+虹膜验证,伪造难度高100倍。
Q:新手该选哪个Linux发行版?
数据说话:Ubuntu占云服务器市场61%,文档丰富适合小白。CentOS停更后,Rocky Linux成企业新宠。
小编观点:安全与便利要平衡
这些年见过太多极端案例——有人的SSH配置复杂到自己也登不上,也有人嫌麻烦用默认设置三天被黑。我的建议是:
- 基础防护必做(改端口+密钥登录)
- 进阶防护量力而行(Fail2Ban适合有点流量的小站)
- 每月检查日志:
sudo journalctl -u sshd --since "2025-05-01"
最近发现个新趋势:AI智能防火墙开始学习攻击模式,自动调整防护策略。但对小白来说,先把今天教的几招练熟更重要。毕竟再安全的锁,也得主人记得用不是?