⚠️ 服务器暴露公网?先问自己一个问题
你的服务器每秒遭受成百上千次暴力破解,你还在用默认SSH配置吗?
只要你的服务器拥有公共IP,每一秒都在遭受全球黑客的自动化扫描。SSH是运维工程师的命门,而默认配置的SSH就是敞开的大门。
今天分享5个黄金参数,只需修改sshd_config配置文件,就能让你的服务器SSH入口固若金汤。
把默认的22端口修改为1万以上的高端口,比如22022或22222。
Port 22022
📊 效果:修改默认端口可以过滤掉90%以上的初级脚本扫描攻击
禁止root用户直接登录,强制使用普通用户登录后再提权。
PermitRootLogin no
📊 效果:增加攻击路径复杂度,防止攻击者直接以root身份入侵
禁用密码认证,强制使用密钥登录。这是最关键的一步,彻底免疫所有字典暴力破解。
PasswordAuthentication no
📊 效果:彻底杜绝密码暴力破解,攻击者即便知道用户名也无可奈何
单次连接最多尝试3次密码,输错3次后自动断开连接。
MaxAuthTries 3
📊 效果:配合fail2ban使用效果更佳,可自动封禁恶意IP
通过AllowUsers指令明确指定允许登录的用户,不在白名单内的用户即便密码正确也无法登录。
AllowUsers admin deploy@192.168.1.100
📊 效果:双重保险,即使密码泄露,非白名单用户也无法登录
✨ 配置完成后记得重启SSH服务
sudo systemctl restart sshd
💡 安全加固检查清单
✅ 端口改为高位端口(如22022)
✅ 禁用root直接登录
✅ 禁用密码验证,启用密钥登录
✅ 限制登录尝试次数
✅ 配置白名单用户
⚠️ 温馨提示:修改SSH配置前请务必保持当前会话连接,配置完成后再开新窗口测试,确认无误后再关闭旧连接,避免远程服务器无法访问。