Linux SSH安全提升聚焦四大关键动作：禁用密码登录启用密钥认证（ed25519优先）、禁止root直连并限制AllowUsers、修改端口配合防火墙精准放行、启用fail2ban及加固协议算法；建议按序实施并逐项验证。

Linux SSH 安全提升不是靠堆配置，而是聚焦几个关键动作：关掉高危入口、换掉弱认证方式、加一层访问控制。下面这些操作在主流发行版（Ubuntu 22.04+/CentOS 8+/RHEL 9+）上均可直接执行，每一步都有明确目的和验证方法。

禁用密码登录，只用密钥认证

这是最有效的单步加固——暴力破解几乎立刻失效。前提是已配好密钥且能稳定登录。

• 本地生成强密钥：ssh-keygen -t ed25519 -C "admin@prod"（优先选 ed25519，比 RSA 更快更安全）
• 上传公钥到服务器：ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip
• 登录服务器后，编辑 /etc/ssh/sshd_config，确认以下两行：
  PubkeyAuthentication yes
PasswordAuthentication no
• 重启服务：sudo systemctl restart sshd
• ⚠️ 操作前务必新开一个终端，用密钥成功登录一次再关闭旧连接，避免锁死

禁止 root 直接登录 + 限制可登录用户

消除最高权限账户暴露面，同时缩小攻击目标范围。

• 在 /etc/ssh/sshd_config 中设置：
  PermitRootLogin no
AllowUsers deploy admin backup（只写你真正需要 SSH 的用户名，多个空格分隔）
• 如需按组限制，可用：AllowGroups ssh-users，然后用 sudo usermod -aG ssh-users username 加入用户
• 改完立即生效，无需重启，但新连接才受控；已有 root 会话不受影响

改端口 + 配合防火墙精准放行

不为“防高手”，只为过滤掉 99% 的自动化扫描流量——实测日志中无效尝试下降两个数量级。

• 修改端口（例如改为 5678）：Port 5678（写在 sshd_config 顶部或单独一行）
• 防火墙同步更新：
  Ubuntu：sudo ufw allow 5678/tcp && sudo ufw deny 22/tcp
  RHEL/CentOS：sudo firewall-cmd --permanent --add-port=5678/tcp && sudo firewall-cmd --reload
• SELinux 用户额外执行：sudo semanage port -a -t ssh_port_t -p tcp 5678
• 测试连接：ssh -p 5678 user@server_ip

启用失败锁定 + 协议与算法加固

堵住暴力破解最后一道缝隙，并淘汰已知有漏洞的加密组件。

• 在 sshd_config 中添加或修改：
  Protocol 2
MaxAuthTries 3
LoginGraceTime 45
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
• 装 fail2ban（自动封 IP）：sudo apt install fail2ban 或 sudo yum install fail2ban
• 启用默认 jail：sudo systemctl enable --now fail2ban，它会自动监控 /var/log/auth.log 并封禁多次失败的 IP

基本上就这些。不需要全部一步到位，建议按顺序做：先密钥 → 再禁 root 和限用户 → 接着改端口+防火墙 → 最后加 fail2ban 和算法加固。每做完一项，用另一台机器测试连接，留好应急回滚路径（比如 console 访问或云平台 VNC）。

# linux  # word  # centos  # 防火墙  # 端口  # ubuntu  # mac  # ai  # 堆  # var  # copy  # console  # 算法  # ssh  # 自动化  # 重启  # 这是  # 几个  # 都有  # 多个  # 不需要  # 已有  # 不受  # 均可  # 新开 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何快速重置建站主机并恢复默认配置？  简历没回改：利用AI润色让你的文字更专业  Laravel怎么实现微信登录_Laravel Socialite第三方登录集成  实现点击下箭头变上箭头来回切换的两种方法【推荐】  如何在腾讯云服务器上快速搭建个人网站？  如何使用 jQuery 正确渲染 Instagram 风格的标签列表  Laravel Telescope怎么调试_使用Laravel Telescope进行应用监控与调试  大型企业网站制作流程,做网站需要注册公司吗？  如何在IIS服务器上快速部署高效网站？  如何用已有域名快速搭建网站？  宙斯浏览器视频悬浮窗怎么开启 边看视频边操作其他应用教程  Laravel怎么实现搜索高亮功能_Laravel结合Scout与Algolia全文检索【实战】  如何破解联通资金短缺导致的基站建设难题？  如何获取免费开源的自助建站系统源码？  如何在万网开始建站？分步指南解析  高性价比服务器租赁——企业级配置与24小时运维服务  如何获取PHP WAP自助建站系统源码？  高端云建站费用究竟需要多少预算？  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  Laravel的Blade指令怎么自定义_创建你自己的Laravel Blade Directives  浅谈redis在项目中的应用  高性能网站服务器部署指南：稳定运行与安全配置优化方案  简单实现jsp分页  详解CentOS6.5 安装 MySQL5.1.71的方法  Laravel如何配置中间件Middleware_Laravel自定义中间件拦截请求与权限校验【步骤】  黑客入侵网站服务器的常见手法有哪些？  Laravel如何发送系统通知_Laravel Notifications实现多渠道消息通知  Javascript中的事件循环是如何工作的_如何利用Javascript事件循环优化异步代码？  如何确认建站备案号应放置的具体位置？  详解vue.js组件化开发实践  C语言设计一个闪闪的圣诞树  用v-html解决Vue.js渲染中html标签不被解析的问题  Laravel表单请求验证类怎么用_Laravel Form Request分离验证逻辑教程  猎豹浏览器开发者工具怎么打开 猎豹浏览器F12调试工具使用【前端必备】  Laravel storage目录权限问题_Laravel文件写入权限设置  HTML5空格在Angular项目里怎么处理_Angular中空格的渲染问题【详解】  JavaScript数据类型有哪些_如何准确判断一个变量的类型  详解阿里云nginx服务器多站点的配置  微信小程序 闭包写法详细介绍  如何制作公司的网站链接,公司想做一个网站，一般需要花多少钱？  品牌网站制作公司有哪些,买正品品牌一般去哪个网站买？  Android实现代码画虚线边框背景效果  Laravel如何升级到最新版本？（升级指南和步骤）  怎么用AI帮你为初创公司进行市场定位分析？  Java遍历集合的三种方式  三星网站视频制作教程下载,三星w23网页如何全屏？  Laravel Asset编译怎么配置_Laravel Vite前端构建工具使用  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  Laravel如何设置自定义的日志文件名_Laravel根据日期或用户ID生成动态日志【技巧】  高端网站建设与定制开发一站式解决方案 中企动力