SSH 安全优化建议（端口 + 配置）

傲来云

站长朋友们，SSH 是服务器的生命线，默认配置其实不太安全，稍微动动手可以大幅提高安全性，尤其是公网服务器。这里分享几个常用的 SSH 安全优化小技巧。

1. 修改默认端口（22 端口最容易被扫）
默认端口 22 是攻击者扫描的首选，换个端口能挡掉一大波无脑爆破。
修改方法：

1. vim /etc/ssh/sshd_config

复制代码

把：

1. Port 22

复制代码

改成：

1. Port 22222   # 示例，随便用一个高位未被占用的端口

复制代码

然后放行新端口：

1. firewall-cmd --add-port=22222/tcp --permanent
   
2. firewall-cmd --reload

复制代码

最后重启 SSH：

1. systemctl restart sshd

复制代码

提示：不要同时关掉 22 端口和重启 SSH，可以先开新端口确认能连上，再禁用旧的。

2. 禁止 root 直接登录
如果不想让 root 被暴力破解，可以创建普通用户 + sudo 权限，再禁用 root 登录。
操作步骤：
创建普通用户：

1. adduser admin
   
2. passwd admin
   
3. usermod -aG wheel admin

复制代码

禁止 root 登录：
编辑 /etc/ssh/sshd_config：

1. PermitRootLogin no

复制代码

重启 SSH 服务：

1. systemctl restart sshd

复制代码

3. 禁用密码登录（使用密钥更安全）
只允许密钥登录，可以防止暴力破解。
开启密钥登录：

1. PasswordAuthentication no

复制代码

确保你已经配置好公钥：

1. ~/.ssh/authorized_keys

复制代码

提前测试好密钥能用再禁用密码登录，不然会锁自己在外面。

4. 设置登录失败限制（可搭配 fail2ban）
fail2ban 可以自动检测 SSH 日志，一旦某 IP 连续失败多次，就自动拉黑一段时间。

1. yum install fail2ban -y   # CentOS
   
2. apt install fail2ban -y   # Debian/Ubuntu
   
3. 
   
4. # 启用 SSH 防护
   
5. vim /etc/fail2ban/jail.local

复制代码

添加：

1. [sshd]
   
2. enabled = true
   
3. bantime = 1h
   
4. findtime = 600
   
5. maxretry = 5

复制代码

启动：

1. systemctl enable fail2ban --now

复制代码

总结
建议部署的 SSH 安全措施：

更换默认端口

禁用 root 登录

使用密钥认证

开启 fail2ban 防爆破

这些设置基本适用于大多数服务器，特别是公网云服务器。你有哪些 SSH 安全配置经验？欢迎补充交流~