当前位置：首页 > article >正文

保姆级教程：在Ubuntu 22.04物理机上，从开启SSH到配置IPv6防火墙的完整流程

article 2026/3/30 2:08:28

Ubuntu 22.04物理机从SSH配置到IPv6防火墙的完整安全指南当你拿到一台全新的Ubuntu物理机时如何安全地配置远程访问并启用IPv6连接本文将带你从零开始一步步完成从系统初始化到防火墙配置的全过程。无论你是搭建家庭服务器、开发测试环境还是小型应用部署这套流程都能确保你的设备既安全又可用。1. 系统初始化与SSH安全配置在开始任何远程管理之前首先要确保系统处于最新状态。Ubuntu 22.04 LTS作为长期支持版本提供了稳定的基础环境。sudo apt update sudo apt upgrade -y这个命令会更新软件包列表并升级所有可更新的软件。完成后建议重启系统以确保所有更新生效。接下来安装SSH服务sudo apt install openssh-server -y安装完成后SSH服务会自动启动。验证服务状态sudo systemctl status ssh你应该看到active (running)的状态提示。如果没有可以手动启动服务sudo systemctl enable --now ssh基础安全加固建议修改默认SSH端口避免使用22端口禁用root用户直接登录启用密钥认证替代密码登录编辑SSH配置文件sudo nano /etc/ssh/sshd_config找到并修改以下参数Port 2222 # 自定义端口号 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes保存后重启SSH服务sudo systemctl restart ssh注意修改端口前确保防火墙已放行新端口否则可能导致无法连接2. IPv6网络配置与验证现代Linux发行版通常已内置IPv6支持但仍需确认和适当配置。首先检查内核是否支持IPv6cat /proc/net/if_inet6如果有输出表示系统支持IPv6。接下来查看网络接口的IPv6地址ip -6 addr show典型输出可能包含以下几种类型的IPv6地址地址类型前缀用途说明本地回环::1/128仅限本机内部通信链路本地fe80::/10同一物理链路内的设备通信全局单播2000::/3互联网通信如果发现IPv6被禁用可以检查以下配置文件cat /etc/sysctl.conf | grep ipv6确保没有包含net.ipv6.conf.all.disable_ipv61这样的禁用设置。如果需要启用IPv6sudo sysctl -w net.ipv6.conf.all.disable_ipv60 sudo sysctl -w net.ipv6.conf.default.disable_ipv603. 防火墙(UFW)的双栈配置Ubuntu自带的UFW防火墙是管理网络安全的便捷工具。首先确保UFW已安装sudo apt install ufw -y基本防火墙策略默认拒绝所有入站连接允许特定端口的SSH访问分别配置IPv4和IPv6规则启用UFW前务必先放行SSH端口否则可能被锁定在外sudo ufw allow 2222/tcp # 对应之前修改的SSH端口对于IPv6的特殊考虑需要明确指定协议版本sudo ufw allow proto tcp from any to any port 2222 # IPv4 sudo ufw allow proto tcp from any to any port 2222 comment SSH IPv6 # IPv6查看规则是否包含IPv6sudo ufw status numbered输出应该显示类似内容Status: active To Action From -- ------ ---- [ 1] 2222/tcp ALLOW IN Anywhere # SSH IPv4 [ 2] 2222/tcp (v6) ALLOW IN Anywhere (v6) # SSH IPv6启用防火墙sudo ufw enable4. 服务部署与连通性测试为了验证IPv6连通性我们可以部署一个简单的HTTP服务。创建一个Python测试脚本#!/usr/bin/env python3 from http.server import SimpleHTTPRequestHandler from socketserver import TCPServer import socket class IPv6HTTPRequestHandler(SimpleHTTPRequestHandler): def address_string(self): return str(self.client_address[0]) class IPv6TCPServer(TCPServer): address_family socket.AF_INET6 PORT 8080 Handler IPv6HTTPRequestHandler with IPv6TCPServer((::, PORT), Handler) as httpd: print(fServing HTTP on [::]:{PORT}) httpd.serve_forever()保存为ipv6_server.py并赋予执行权限chmod x ipv6_server.py在防火墙中开放测试端口sudo ufw allow 8080/tcp sudo ufw allow 8080/tcp comment Test HTTP IPv6启动服务./ipv6_server.py获取服务器的全局IPv6地址ip -6 addr show scope global从外部设备访问时IPv6地址需要用方括号包裹http://[2409:8a00:b473:7450:6d4c:944e:d0b2:cda4]:8080/常见问题排查无法连接SSH检查防火墙规则是否正确确认SSH服务正在运行验证网络路由是否可达IPv6无法访问确认ISP提供IPv6支持检查路由器IPv6转发设置验证防火墙IPv6规则服务无响应检查服务是否绑定到IPv6地址确认端口未被占用查看服务日志获取错误信息5. 高级安全配置建议基础配置完成后可以考虑以下增强措施SSH加固使用Fail2Ban防止暴力破解设置连接空闲超时限制用户登录权限安装Fail2Bansudo apt install fail2ban -y配置SSH保护sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo nano /etc/fail2ban/jail.local修改相关参数[sshd] enabled true port 2222 maxretry 3 bantime 1h防火墙优化设置默认策略为DROP而非REJECT启用日志记录可疑连接定期审计防火墙规则修改UFW默认策略sudo ufw default deny incoming sudo ufw default allow outgoing启用日志sudo ufw logging onIPv6隐私扩展现代Linux系统默认启用IPv6隐私扩展防止基于地址的追踪。可以验证设置cat /proc/sys/net/ipv6/conf/all/use_tempaddr值为2表示启用隐私扩展。6. 自动化维护与监控长期运行的服务器需要定期维护。设置自动安全更新sudo apt install unattended-upgrades -y sudo dpkg-reconfigure -plow unattended-upgrades配置日志轮转防止日志文件过大sudo nano /etc/logrotate.conf添加SSH和UFW的日志管理/var/log/auth.log { weekly missingok rotate 4 compress delaycompress notifempty }网络连通性监控可以使用简单的cron任务(crontab -l 2/dev/null; echo */5 * * * * ping6 -c 1 2001:4860:4860::8888 /dev/null || echo IPv6 connectivity check failed) | crontab -这个任务每5分钟检查一次IPv6网络连通性失败时会发出警告。

保姆级教程：在Ubuntu 22.04物理机上，从开启SSH到配置IPv6防火墙的完整流程

相关文章：

保姆级教程：在Ubuntu 22.04物理机上，从开启SSH到配置IPv6防火墙的完整流程

Python 3.14 JIT编译器实测对比：启动耗时降63%、内存开销压减41%，你的服务还在用默认配置？

Kubernetes集群的搭建与DevOps实践（下）- 部署实践篇

基于DQN深度强化学习电力-热力-算力三维协同的数据中心智能调度优化研究（Matlab代码实现）

Xilinx FPGA FIFO IP核复位机制深度解析与实战调试

AD5660 16位DAC驱动库深度解析：嵌入式SPI接口实践

EF Core与SQLite实战：从零构建轻量级数据库应用

STM32F103 SPI+DMA驱动WS2812B的时序实现原理

如何一键获取国家中小学智慧教育平台所有电子课本？这个智能下载工具给你答案

Gin 框架中的规范响应格式设计与实现

如何突破Windows权限限制？NSudo全方位权限管理方案

避坑指南：用conda一键搞定gymnasium[box2d]安装（附常见错误解决方案）

海尔智能家居无缝接入HomeAssistant：打破品牌壁垒的终极指南

颈肩腰腿痛家庭护理，长春颈肩腰腿痛医院教你居家调理

Landsat 9 数据预处理第一步：在ENVI里正确加载影像的保姆级指南（含MTL文件处理）

PlotJuggler保姆级安装指南：从Ubuntu到Windows，手把手搞定ROS插件与数据可视化

基于51单片机与HX711的智能电子秤Proteus仿真与计价系统实现

UniApp跨平台跳转外部链接全攻略：H5、App与小程序实战解析

隐私计算新选择：OpenClaw+nanobot本地化数据处理

NeoPixel Painter：嵌入式HSV动画的固定点实现

电子工程师的技术洁癖与嵌入式开发实践

【同态加密实战】从Paillier到BFV：算法原理与编码艺术深度解析

Zotero插件生态：从翻译到效率提升的进阶配置指南

AI早报 | 2026.03.29（周日）

SerialTransfer：Arduino轻量级高可靠串行通信协议栈

Simulink模型到AUTOSAR RTE的‘最后一公里’：手把手教你处理ARXML接口冲突并自动配置ISOLAR

被裁员后，我用这个 AI 助手每天只工作 2 小时｜OpenClaw 实战

告别混乱！YOLOv8检测结果自动归档：按日期+编号整理图片和标签（附完整Python脚本）

突破GEE内置限制：将本地Python机器学习模型部署至云端

爬虫对抗：ZLibrary 反爬机制实战分析（第二版）