SSH server怎么配置，SSH server配置文件在哪修改

构建一个安全、高效且易于管理的SSH服务器环境，是保障Linux系统运维安全的第一道防线。核心上文小编总结在于：默认的SSH配置往往存在严重的安全隐患，必须通过更改默认端口、强制密钥认证、限制访问用户及IP、以及优化加密算法等多维度的“纵深防御”策略，才能有效抵御暴力破解和中间人攻击，同时确保运维管理的便捷性。 以下将基于金字塔原则，从基础加固到高级防御，详细解析SSH Server的专业配置方案。

基础层：切断常规攻击路径

绝大多数自动化攻击脚本都针对SSH的默认配置进行扫描,因此基础加固的首要任务是改变这些“默认值”。

更改默认监听端口
SSH服务默认监听22端口，这是全网被扫描频率最高的端口之一，将其修改为高位端口（如22222或一个随机五位数），虽然不能提供实质性的加密保护，但能有效过滤掉绝大多数基于端口的广谱垃圾流量和自动化扫描脚本，减轻服务器的日志压力。

在/etc/ssh/sshd_config配置文件中，修改Port指令：

# 默认是 Port 22
Port 22222

注意：修改后需确保防火墙（如iptables或firewalld）已放行新端口，并在重启sshd服务前保持一个现有连接，以防配置错误导致被锁在门外。

禁用Root用户直接登录
Root账户是攻击者暴力破解的首要目标，一旦Root密码泄露，服务器将面临完全沦陷的风险，最佳实践是禁止Root直接登录，而是先以普通用户登录，然后通过sudo提权。

配置修改：

PermitRootLogin no

强制使用密钥认证，禁用密码登录
密码认证容易被弱口令或社会工程学攻击攻破。基于非对称加密的SSH密钥认证是目前公认最安全的登录方式，管理员应在本地生成SSH密钥对（如Ed25519或RSA 4096），将公钥部署到服务器，并彻底关闭密码认证功能。

配置修改：

PubkeyAuthentication yes
PasswordAuthentication no

进阶层：加密算法与访问控制优化

在切断基础攻击路径后,需要从协议层面和访问控制层面进行精细化调优，以应对更高级的威胁。

优化加密算法与密钥交换
老旧的SSH版本或配置可能支持已被证实不安全的加密算法（如Arcfour、Blowfish）或弱密钥交换算法（如diffie-hellman-group1-sha1），为了防止降级攻击，必须显式指定高强度算法。

建议在sshd_config中添加或修改以下指令，仅保留安全的算法套件：

# 仅使用强密钥交换算法
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
# 使用强加密算法（AES-GCM比AES-CBC更安全，且支持硬件加速）
Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes128-gcm@openssh.com
# 使用强MAC算法
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com

精细化访问控制列表
利用AllowUsers或AllowGroups指令，可以实现白名单机制，这是限制访问范围最有效的手段之一，只允许特定的运维账号从特定的管理IP段登录，其他所有连接尝试都将被服务器直接拒绝。

配置示例：

# 仅允许user1从192.168.1.100登录，允许admin组从任何IP登录
AllowUsers user1@192.168.1.100
AllowGroups admin

独家经验案例：酷番云云主机的SSH防御实践

在酷番云多年的云主机运维管理实践中,我们曾处理过一起典型的安全事件，一位电商客户的ECS实例在部署初期使用了默认SSH配置，且Root密码复杂度不足，导致在上线短短48小时内遭受了来自全球数千个IP的暴力破解攻击，CPU占用率因处理大量SSH握手请求而飙升至90%，正常业务受到严重影响。

解决方案：
酷番云技术团队介入后，立即实施了以下“组合拳”策略：

1. 端口迁移与密钥部署：将SSH端口迁移至随机高位端口，强制部署Ed25519密钥认证并禁用密码登录。
2. IP白名单限制：结合酷番云云防火墙产品，将SSH访问来源限制为客户办公网段的出口IP，并在系统内部配置AllowUsers进行二次校验。
3. Fail2Ban联动：部署Fail2Ban服务，设置在10分钟内失败3次即封禁IP的策略。

实施效果：
策略生效后的24小时内，服务器日志中的SSH认证失败请求从每分钟数千次骤降至0，CPU占用率恢复至正常水平（5%以下），该案例证明，结合云厂商的防火墙能力与系统级的SSH精细化配置，是防御自动化攻击的最优解。

高层：会话管理与主动防御

会话超时与空闲断开
为了防止管理员在离开终端时未锁定屏幕导致会话被劫持，应配置SSH会话超时机制。

# 客户端每60秒向服务器发送一次心跳，如果服务器连续3次（180秒）未收到响应，则断开连接
ClientAliveInterval 60
ClientAliveCountMax 3

限制最大并发连接数
防止单一IP发起大量连接消耗服务器资源（DoS攻击）。

MaxStartups 10:30:100
# 含义：当未认证的连接达到10个时，开始以30%的概率拒绝新连接；达到100个时，拒绝所有新连接。

启用日志与审计
确保LogLevel设置为VERBOSE或INFO，以便详细记录登录信息，建议将SSH日志发送到远程日志服务器，防止攻击者篡改本地日志以掩盖踪迹。

相关问答

Q1：修改SSH端口后，使用scp或rsync传输数据时该如何指定端口？
A： 在使用scp或rsync时，需要通过-p参数（scp）或-e "ssh -p 端口"参数（rsync）来指定目标端口。
例如scp命令：scp -P 22222 local_file.txt user@remote_host:/path/to/destination
例如rsync命令：rsync -avz -e "ssh -p 22222" local_file.txt user@remote_host:/path/to/destination

Q2：如果不小心配置错误导致无法登录SSH，如何进行救援？
A： 如果使用的是云服务器（如酷番云提供的云主机），通常可以通过“控制台VNC/远程连接”功能直接登录服务器底层，该功能不依赖SSH服务，登录后，使用root权限修正/etc/ssh/sshd_config文件中的错误配置，然后执行systemctl restart sshd重启服务即可恢复，对于物理服务器，则需要通过显示器和键盘直接登录本地终端进行修复。

通过以上分层级的配置与优化,您的SSH服务器将具备极高的安全性与抗攻击能力，如果您在配置过程中遇到任何问题，或者有更独特的安全加固心得，欢迎在评论区留言分享，让我们一起构建更安全的网络环境。