Ubuntu SSH安全配置指南（手把手教你加固sshd服务，提升Linux远程登录安全性）

一、为什么需要加固 SSH？

默认安装的 OpenSSH 服务虽然可用，但存在诸多安全隐患，例如：

• 允许 root 用户直接登录
• 使用弱密码认证方式
• 监听所有网络接口
• 未限制失败登录尝试次数

这些都可能被暴力破解工具利用，导致服务器被入侵。因此，实施 sshd安全加固 至关重要。

二、准备工作：备份原始配置

在修改任何系统配置前，请先备份原始文件：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

三、关键安全配置步骤

1. 禁用 root 登录

禁止 root 用户通过 SSH 直接登录，可大幅降低风险。编辑配置文件：

sudo nano /etc/ssh/sshd_config

找到以下行（若被注释则取消注释），并修改为：

PermitRootLogin no

2. 改用密钥认证（推荐）

密码容易被暴力破解，而 SSH 密钥更安全。首先生成密钥对（在本地电脑操作）：

ssh-keygen -t ed25519 -C "your_email@example.com"

然后将公钥上传到服务器：

ssh-copy-id username@your_server_ip

确认无误后，在服务器端禁用密码登录：

PasswordAuthentication no

3. 更改默认 SSH 端口

默认端口 22 是自动化扫描的重点目标。修改为非标准端口（如 2222）可减少攻击：

Port 2222

⚠️ 注意：修改端口后需更新防火墙规则，并在连接时指定新端口：

ssh -p 2222 username@your_server_ip

4. 限制用户登录

只允许特定用户通过 SSH 登录，避免无关账户被利用：

AllowUsers alice bob

5. 启用登录失败限制（配合 fail2ban）

安装 fail2ban 可自动封禁多次失败登录的 IP：

sudo apt updatesudo apt install fail2ban -y

这能有效防御暴力破解，是 Linux远程登录安全 的重要防线。

四、重启服务并测试

完成配置后，重启 SSH 服务使更改生效：

sudo systemctl restart sshd

⚠️ 强烈建议：在另一个终端窗口保持登录状态，以防配置错误导致无法连接！

五、总结

通过以上步骤，你已经完成了基础的 SSH服务优化 和安全加固。记住，安全是一个持续过程，定期检查日志（/var/log/auth.log）、更新系统、监控异常登录行为同样重要。

遵循本指南，你的 Ubuntu 服务器将远离大多数自动化攻击，真正实现安全可靠的远程管理。

关键词：Ubuntu SSH安全配置, sshd安全加固, Linux远程登录安全, SSH服务优化