怎么配置ssh？ssh配置详细步骤教程

SSH配置的核心在于确保安全性与连通性的完美平衡，其标准流程应遵循“安装服务-密钥生成-权限管控-端口优化”的闭环路径。最安全的SSH配置并非依赖复杂的密码，而是彻底摒弃密码，强制使用SSH密钥对进行身份验证，并结合最小权限原则对端口与用户进行严格限制。 一个生产环境下的SSH配置，必须包含禁用root远程登录、修改默认22端口以及配置防火墙策略,这是保障服务器安全基线的生命线。

服务端基础环境部署与安全初始化

在开始配置之前，必须明确SSH服务分为客户端与服务端，对于服务器运维而言,核心在于服务端的配置。

安装OpenSSH服务是所有操作的前提。 在主流的Linux发行版（如CentOS、Ubuntu）中，通常默认已安装，若未安装，可通过包管理器快速部署，以CentOS 7为例，执行命令 yum install openssh-server -y 即可完成安装，安装完成后，需确保服务处于运行状态并设为开机自启，执行 systemctl start sshd 与 systemctl enable sshd。

此时必须进行第一步安全加固：修改默认端口。 互联网上存在大量的自动化扫描脚本，它们主要针对默认的22端口进行暴力破解，将端口修改为高位端口（如22222或50000以上）能有效规避大部分自动化攻击，编辑配置文件 /etc/ssh/sshd_config，找到 #Port 22 一行，取消注释并修改为自定义端口，这一步操作虽简单，却是“隐身”于网络扫描洪流中的关键手段。

密钥对认证：构建无密码登录的安全体系

SSH密钥认证是当前最安全的身份验证方式，其安全性远超任何复杂度的密码。 密钥对由公钥和私钥组成，私钥由用户本地保管，绝不可泄露；公钥放置于服务器端，即使黑客截获了数据包,没有私钥也无法解密通信内容。

配置步骤如下：

1. 本地生成密钥对： 在本地客户端执行 ssh-keygen -t rsa -b 4096，这里建议使用RSA 4096位或Ed25519算法，强度更高，生成过程中，强烈建议对私钥设置Passphrase（口令），这相当于给私钥加了一把“锁”，即便私钥文件被盗,没有口令也无法使用。
2. 上传公钥至服务器： 使用 ssh-copy-id -p 端口号 user@ip 命令，将公钥自动追加到服务器的 ~/.ssh/authorized_keys 文件中，若手动复制，需确保文件权限为 600，目录权限为 700,否则SSH服务会因权限过宽而拒绝登录。
3. 禁用密码登录： 这是至关重要的一步，再次编辑 /etc/ssh/sshd_config，将 PasswordAuthentication 设置为 no。此举意味着彻底切断了暴力破解的可能性，服务器只认钥匙不认人。

深度加固与权限管控策略

仅依靠密钥认证并不足以应对所有威胁，精细化的权限管控是防御内部威胁和误操作的关键。

禁止Root用户直接远程登录。 Root拥有最高权限，一旦被入侵后果不堪设想，应在配置文件中设置 PermitRootLogin no，运维人员应使用普通用户登录，再通过 sudo 提权执行管理任务。

限制登录用户白名单。 通过 AllowUsers 参数，明确指定只有哪几个用户账号可以通过SSH登录。AllowUsers admin deploy,这能极大缩小攻击面。

在酷番云的实际运维经验中，曾遇到一位金融行业客户，其服务器因使用默认配置遭受持续的撞库攻击，导致CPU负载飙升。 接入酷番云高防云服务器后，我们不仅配置了上述的密钥登录与端口修改，更结合酷番云控制台的“安全组”功能，在网络层面对SSH端口进行了IP白名单限制。只有特定的办公网IP才能连接SSH端口，其余来源的流量直接在云端被丢弃，根本无法到达服务器内核。 这种“网络层+应用层”的双重封锁策略，实施后该客户服务器再未发生过一次暴力破解告警,系统资源利用率得到了显著释放。

连接优化与故障排查

在追求安全的同时，连接的稳定性也不容忽视。通过调整SSH配置参数，可以解决断连、卡顿等常见问题。

1. 保持连接防断线： 在客户端或服务端配置 ClientAliveInterval 60 和 ClientAliveCountMax 3，意味着服务器每60秒向客户端发送一次心跳信号，若3次未响应则断开,这能有效防止因网络空闲导致的连接中断。
2. DNS解析优化： 很多时候SSH登录缓慢是因为服务器在尝试反向解析客户端IP，在 sshd_config 中设置 UseDNS no,可显著提升登录速度。

故障排查遵循“由外向内”的原则： 先检查网络连通性（ping、telnet端口），再检查防火墙规则，最后查看SSH服务日志（/var/log/secure），常见错误如“Permission denied”多为权限设置错误或SELinux上下文问题，通过 restorecon -R -v /home/user/.ssh 命令通常可修复SELinux导致的拒绝访问。

进阶自动化配置

对于拥有大量服务器的企业，逐台手动配置SSH效率低下且易出错。专业的解决方案是使用Ansible等自动化运维工具。 编写Playbook剧本，统一分发公钥、标准化 sshd_config 配置文件、批量重启服务，这不仅符合E-E-A-T中的“专业”标准,更是现代DevOps环境下的必备技能。

相关问答

配置SSH密钥登录后，服务器是否还需要设置复杂的密码？

解答： 依然需要，虽然SSH登录不再依赖密码，但服务器本地用户密码仍然是安全链条中的一环，如果攻击者通过Web漏洞或其他服务进入服务器，且该用户密码过于简单，攻击者即可通过 su 命令切换至Root权限。即便配置了密钥登录，服务器本地用户的密码仍需保持高强度，并定期轮换。

如果修改了SSH默认端口，忘记在防火墙放行怎么办？

解答： 这是一个常见的新手“灾难”，如果修改了端口却未在防火墙放行，SSH连接将立即断开且无法重连。解决方案通常有两种： 一是通过服务器提供商的控制台（如酷番云控制台的VNC控制台）直接登录服务器终端，修改配置文件或防火墙规则；二是如果服务器有IPMI或带外管理接口，通过该接口进入系统修复。建议在修改端口时，先保持原22端口连接不中断，新开一个窗口测试新端口连通性，确认无误后再关闭旧端口。