本文,小庫主機將為大家分享在已安裝寶塔面板的RAKsmart Linux服務器上,對SSH服務進行一系列基礎卻極其有效的安全加固,顯著提升服務器的安全基線,防患于未然。
一、為何要加固SSH?
默認的SSH配置(22端口+密碼登錄)非常容易被自動化腳本暴力破解。一旦攻擊者通過SSH侵入,您的服務器和數據將面臨巨大風險。加固的目的在于:
- 減少攻擊面:隱藏或更改默認端口,避開大部分自動化掃描。
- 強化認證方式:優先使用密鑰登錄,徹底杜絕密碼爆破的可能。
- 最小權限原則:限制可登錄的用戶和來源IP,降低潛在破壞。
RAKsmart臺灣獨立服務器推薦產品:
| CPU | 內存 | 硬盤 | 帶寬 | IP | 價格 | 購買 |
| E5-2630L | 16G | 1T HDD | 50M | 1IP | $119.00 | 立即購買 |
| E5-2680 | 16G | 1T HDD | 50M | 1IP | $129.00 | 立即購買 |
| E5-2630L*2 | 32G | 1T HDD | 50M | 1IP | $139.00 | 立即購買 |
| E5-2680*2 | 32G | 1T HDD | 50M | 1IP | $149.00 | 立即購買 |
| E5-2683v4*2 | 64G | 1T SSD | 50M | 1IP | $219.00 | 立即購買 |
| E5-2698v4*2 | 64G | 1T SSD | 50M | 1IP | $269.00 | 立即購買 |
| Gold-6133*2 | 64G | 1T NVME | 50M | 1IP | $319.00 | 立即購買 |
| Platinum-8168*2 | 64G | 1T NVME | 50M | 1IP | $469.00 | 立即購買 |
| AMD-32Core*2 | 128G | 1T NVME | 50M | 1IP | $719.00 | 立即購買 |
| AMD-64Core*2 | 256G | 1T NVME | 50M | 1IP | $1019.00 | 立即購買 |
注:上述配置均為默認配置,可在后臺任意升級配置。具體套餐和配置請參考RAKsmart官網。
二、安全加固實戰步驟
重要提示: 在進行任何SSH配置修改前,請務必確保已通過寶塔面板或當前SSH會話開啟了另一個終端窗口,或者準備通過RAKsmart提供的VNC控制臺進行操作。一旦配置出錯導致SSH無法連接,可以通過這些后備方式登錄修復。
1. 修改默認SSH端口
這是最簡單有效的一步,可以避開90%以上的自動化掃描。
登錄寶塔面板,在左側菜單找到“終端”,或者使用您的SSH客戶端(如PuTTY、Xshell)登錄當前服務器。
編輯SSH配置文件:
或者使用寶塔自帶的文件管理器,找到?/etc/ssh/sshd_config?文件進行編輯。
找到?#Port 22?這一行,刪除前面的注釋符?#,并將數字?22?修改為一個1024到65535之間且未被系統其他服務占用的端口號(例如?58222)。
保存文件并退出。
2. 禁止Root用戶直接登錄
直接使用root用戶登錄是極度危險的行為。我們應該禁止root直接SSH登錄,轉而使用普通用戶登錄后,再切換至root權限。
同樣在?/etc/ssh/sshd_config?文件中,找到?#PermitRootLogin yes。
修改為:
保存文件。
操作后,您需要先創建一個擁有sudo權限的普通用戶(如果還沒有的話):
3. 使用密鑰對登錄,禁用密碼登錄
SSH密鑰對的安全性遠高于密碼。密鑰對由公鑰和私鑰組成,公鑰放在服務器上,私鑰保存在本地客戶端。即使攻擊者知道了你的端口和用戶名,沒有私鑰也無法登錄。
生成密鑰對(在本地電腦上操作):
Linux/macOS:使用?ssh-keygen -t rsa?命令。
Windows:可使用PuTTYgen工具生成。
將公鑰上傳至服務器:
寶塔面板方法(最簡單):打開寶塔面板 -> 左側“文件” -> 進入?/root/.ssh?目錄(如果不存在則新建)-> 編輯或上傳?authorized_keys?文件,將你的公鑰內容粘貼進去并保存。
命令方法:在服務器上,將公鑰內容追加到對應用戶家目錄下的?~/.ssh/authorized_keys?文件中。
配置SSH禁用密碼登錄:
在?/etc/ssh/sshd_config?中,找到以下配置并修改:
務必確保本地使用私鑰測試可以正常登錄后,再執行此操作!
4. 配置防火墻(Fail2Ban)
Fail2Ban是一款非常實用的防暴力破解軟件,它能監控系統日志,當發現多次失敗的登錄嘗試后,會自動封禁該IP地址一段時間。
安裝Fail2Ban:
在寶塔面板的“軟件商店”中搜索“Fail2Ban”,點擊安裝即可。或者通過命令行安裝:
配置:Fail2Ban的配置文件通常位于?/etc/fail2ban/jail.local。您可以在寶塔面板中輕松設置封禁時間、查找周期等參數。
三、重啟服務與驗證
完成所有配置后,最關鍵的一步是重啟SSH服務使配置生效。
重啟后,請不要立即關閉當前終端! 打開一個新的SSH客戶端窗口,使用新的端口和密鑰嘗試登錄,確保一切配置正確。驗證成功后,您的服務器SSH安全性就已得到質的提升。
總結
通過以上四步——修改默認端口、禁止Root直接登錄、使用密鑰認證、部署Fail2Ban——您已經為RAKsmart服務器構建了一道堅固的SSH安全防線。
小庫主機溫馨提示:安全是一個持續的過程,絕非一勞永逸。保持系統和服務軟件的更新、定期檢查日志、遵循最小權限原則,才能讓您的服務器在公網中長治久安。
?? 優惠一觸即達!點擊了解RAKsmart優惠活動
本文由網上采集發布,不代表我們立場,轉載聯系作者并注明出處:http://www.hanfengnongye.com/10570.html
