当前位置：首页 > article >正文

别再只用默认端口了！在Ubuntu 22.04上安全配置SSH的进阶指南：改端口、密钥登录与Fail2ban

article 2026/5/22 5:23:43

Ubuntu 22.04服务器SSH安全加固实战从基础防护到企业级防御当你把Ubuntu服务器暴露在公网环境中默认的SSH配置就像把家门钥匙挂在门把手上——方便但极度危险。每天都有数以万计的自动化脚本在扫描互联网上的22端口尝试用常见用户名和弱密码组合入侵服务器。作为经历过三次服务器入侵事件的老运维我想分享一套经过实战检验的SSH安全加固方案。1. 为什么默认SSH配置是安全隐患在公网环境下使用默认22端口和密码认证的SSH服务主要面临三大威胁端口扫描攻击Shodan等网络爬虫持续扫描全网开放22端口的设备平均新上线的服务器在15分钟内就会被扫描到暴力破解攻击黑客使用字典攻击工具如Hydra以每秒数十次的频率尝试常见密码组合零日漏洞利用OpenSSH历史上曾出现多个高危漏洞如CVE-2018-15473默认配置可能放大漏洞影响根据Cloudflare的网络安全报告未加固的SSH服务器平均存活时间MTTD仅为3小时。我去年管理的50台服务器中有3台因为使用默认配置在部署当天就遭到了入侵。2. 修改SSH默认端口第一道防线修改默认端口是最简单有效的防护措施能过滤掉90%的自动化攻击。以下是详细操作步骤2.1 选择非标准端口端口选择有讲究需要避开常见服务端口范围0-1023建议在49152-65535之间选择。避免使用常见替代端口如2222、22222已被攻击者重点监控其他服务常用端口如3306、5432等我推荐使用58234这样的高位随机端口执行以下命令修改配置sudo nano /etc/ssh/sshd_config找到#Port 22这一行取消注释并将端口改为新值Port 582342.2 防火墙配置与测试Ubuntu 22.04默认使用UFW防火墙需要放行新端口sudo ufw allow 58234/tcp sudo ufw deny 22/tcp # 显式拒绝旧端口 sudo ufw reload测试新端口是否生效不要关闭当前SSH会话ssh -p 58234 usernamelocalhost确认新端口可用后重启SSH服务sudo systemctl restart sshd重要提示永远保持至少一个活跃的SSH连接直到确认新配置可用避免被锁在服务器外3. 彻底禁用密码登录SSH密钥认证详解修改端口只是开始密钥认证才是真正的安全保障。下面是我在金融级系统中使用的密钥配置方案。3.1 生成高强度密钥对在本地机器不是服务器上生成ED25519密钥比RSA更安全高效ssh-keygen -t ed25519 -a 100 -f ~/.ssh/prod_server -C prod_access_2023参数说明-a 100增加密钥派生迭代次数提升抗暴力破解能力-f指定密钥文件路径-C添加注释标识密钥用途生成后得到两个文件prod_server私钥权限必须设为600prod_server.pub公钥3.2 服务器端配置将公钥上传到服务器ssh-copy-id -i ~/.ssh/prod_server.pub -p 58234 usernameserver_ip然后修改SSH配置sudo nano /etc/ssh/sshd_config确保以下设置PasswordAuthentication no PubkeyAuthentication yes ChallengeResponseAuthentication no UsePAM no3.3 密钥管理最佳实践多因素保护为私钥添加强密码ssh-keygen时会提示密钥轮换每90天更换一次密钥对权限控制chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys4. Fail2ban动态防御暴力破解即使做了上述防护服务器仍会收到大量探测请求。Fail2ban可以动态封锁恶意IP。4.1 安装与基本配置sudo apt install fail2ban sudo systemctl enable --now fail2ban创建自定义jail配置sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo nano /etc/fail2ban/jail.local针对SSH的推荐配置[sshd] enabled true port 58234 filter sshd logpath /var/log/auth.log maxretry 3 findtime 1h bantime 1d ignoreip 127.0.0.1/8 ::1 192.168.1.0/244.2 高级防护策略针对高频攻击者可以启用recidive累犯机制[recidive] enabled true filter recidive logpath /var/log/fail2ban.log action iptables-allports[namerecidive] bantime 30d findtime 1d maxretry 3查看当前被封禁IPsudo fail2ban-client status sshd5. 深度防御进阶安全措施5.1 限制用户登录范围在/etc/ssh/sshd_config中添加AllowUsers deploy admin AllowGroups ssh-users DenyUsers root5.2 启用两步验证2FA安装Google Authenticatorsudo apt install libpam-google-authenticator google-authenticator修改SSH PAM配置ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive5.3 网络层防护使用Cloudflare Zero Trust或Tailscale建立私有网络完全隐藏SSH端口。6. 监控与应急响应设置实时告警需要配置邮件服务sudo apt install mailutils sudo nano /etc/fail2ban/action.d/mail.conf日志监控命令示例# 查看最近登录 last -i # 检查可疑登录 grep Failed password /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr入侵应急响应流程立即断开受影响服务器网络备份关键日志/var/log/auth.log, /var/log/fail2ban.log轮换所有SSH密钥审查用户账户和权限

别再只用默认端口了！在Ubuntu 22.04上安全配置SSH的进阶指南：改端口、密钥登录与Fail2ban

相关文章：

别再只用默认端口了！在Ubuntu 22.04上安全配置SSH的进阶指南：改端口、密钥登录与Fail2ban

Claude Mythos：AI自主攻防与零日漏洞发现的范式革命

昇腾CANN pto-isa：虚拟指令集如何把 Ascend C 翻译成硬件指令

别再怪硬件了！DELL服务器风扇噪音的元凶与精准静音指南（iDRAC+IPMI实战）

别再死记硬背了！用Unity可视化工具一步步拆解A*寻路算法（附完整C#源码）

Adobe-GenP：创意工作者的智能许可证管理解决方案

全志V853开发环境搭建指南：从Ubuntu配置到SDK编译全流程

别再乱用case了！Verilog里case、casez、casex到底啥区别？一个例子讲透

嵌入式与复杂系统安全开发实战：从威胁建模到安全编码的十大核心实践

Go语言整洁架构：分层设计

Go语言DDD实战：领域驱动设计

Go语言事件溯源：Event Sourcing

Go语言CQRS模式：命令查询分离

ARM NEON中的VMLAL/VMLSL指令详解与优化实践

无监督聚类挖掘声音语义：从音乐描述文本发现认知规律

告别ifconfig！用ip命令和ethtool搞定Linux网卡状态排查（附实战案例）

从Arduino到树莓派：手把手教你玩转IIC和SPI通信（附Python/C++代码）

时序分析核心概念与实战：从数据特征到数据库选型

量子虚时演化算法：原理、实现与应用

影刀RPA 企业级专题篇：多租户自动化平台与账号环境隔离设计

保姆级排查指南：PyTorch装完CUDA不认账？手把手教你搞定torch.cuda.is_available()返回False

影刀RPA 企业级专题篇：自动化中台架构与多业务流程治理实践

深度学习本质：分段线性逼近与ReLU的几何解释

从MySQL分区到OceanBase分区：迁移老手教你平滑过渡与性能调优

从‘乱码’到‘可读’：我是如何用LayoutLMv3和Tesseract拯救一份无法复制的PDF合同的

解决RK3568上QML卡顿的实战：从怀疑供应商到亲手编译带OpenGL ES2的Qt 5.14.2

从Noise2Noise到Neighbor2Neighbor：图解自监督去噪的演进与核心‘采样’技巧

Halcon实战：当键盘字符印刷检测遇上位置偏移和亮度不均，差异化模型如何“稳如泰山”？

广州市认定广东专利奖的条件有哪些？如何准备广东专利奖申报？

历年各批次“重点小巨人”企业全面分析报告