openssh配置教程，openssh配置教程

2026年6月1日 19:46 • 虚拟主机 • 阅读 7

OpenSSH配置

在Linux服务器运维中,OpenSSH的安全配置是构建防御体系的第一道防线，核心上文小编总结非常明确：默认配置存在巨大安全隐患，必须通过禁用密码登录、更换默认端口、限制Root远程访问以及配置密钥认证来加固SSH服务。 任何忽视这些基础配置的行为，都将使服务器暴露在暴力破解和中间人攻击的高风险之下，以下将从核心加固策略、高级安全策略及实战案例三个层面，详细阐述如何构建高可用的SSH安全环境。

核心加固策略：切断基础攻击面

大多数SSH入侵源于弱口令爆破,首要任务是消除密码登录的可能性，并最小化攻击入口。

禁用Root直接远程登录
Root账户是系统的最高权限，直接暴露极易成为攻击目标，应禁止Root用户通过SSH直接登录，转而使用普通用户登录后通过sudo提权。
在/etc/ssh/sshd_config文件中，确保以下配置生效：
PermitRootLogin no
此举不仅降低了Root账户被爆破的风险，还保留了完整的审计日志，便于追踪具体操作者。
强制启用密钥认证
密码认证易受字典攻击和彩虹表破解，而RSA或Ed25519密钥对具有极高的数学复杂度，几乎无法被暴力破解。
必须执行以下配置：
PasswordAuthentication no
PubkeyAuthentication yes
配置完成后，重启SSH服务使配置生效，只有持有对应私钥的用户才能登录，彻底阻断了密码爆破路径。
修改默认SSH端口
默认端口22是自动化扫描工具的首选目标，将SSH服务监听端口更改为非标准端口（如2222或更高位端口），可过滤掉90%以上的自动化扫描噪音。
修改配置项：
Port 2222
注意：修改端口后，务必在防火墙和安全组中开放新端口，并关闭原端口22，防止配置遗漏导致服务不可用或安全隐患残留。

高级安全策略：纵深防御体系

基础加固完成后,需引入更精细的控制策略，以应对高级持续性威胁（APT）和内部误操作。

配置空闲会话超时
防止因管理员忘记退出终端而导致会话被他人利用，设置空闲超时断开连接，能有效减少会话劫持风险。
在sshd_config中添加：
ClientAliveInterval 300
ClientAliveCountMax 2
这表示每300秒发送一次心跳检测，若连续2次无响应则断开连接，总计约10分钟无操作即自动注销。
限制协议版本与加密算法
旧版本的SSH协议（如SSH-1）存在已知漏洞，应强制使用SSH-2，禁用弱加密套件，强制使用高强度算法。
配置示例：
Protocol 2
Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr
通过限制允许的加密算法，确保数据传输的机密性和完整性，抵御降级攻击。
启用Fail2Ban动态封禁
静态配置无法应对动态攻击，结合Fail2Ban工具，当检测到特定IP在短时间内多次登录失败时，自动在防火墙层面封禁该IP，这是动态防御的关键一环，建议配置规则为：5分钟内失败3次即封禁24小时。