在当今的网络环境中,保障服务器的安全至关重要。对于使用 RockyLinux 的用户来说,
sshd(SSH 守护进程)是远程管理服务器的核心服务,但也常成为攻击者的目标。本文将为你提供一份详细、易懂的 RockyLinux sshd 安全配置 教程,即使是 Linux 新手也能轻松上手。
为什么需要 SSH 安全加固?
默认的 SSH 配置虽然可用,但存在许多安全隐患,例如允许 root 登录、使用弱密码认证、开放所有 IP 访问等。通过合理的 SSH 安全加固,可以显著降低被暴力破解或未授权访问的风险。
准备工作
在开始之前,请确保:
你已通过 SSH 登录到 RockyLinux 服务器 你拥有 sudo 权限 你已备份原始配置文件(以防配置出错无法登录)步骤一:备份原始配置文件
在修改任何配置前,务必备份原始文件:
使用你喜欢的文本编辑器(如 nano 或 vim)打开配置文件: 在配置文件中,找到并修改以下选项(若不存在则添加): 防止攻击者直接尝试破解 root 密码: 假设你创建了一个普通用户 密钥认证比密码更安全,可有效防止暴力破解: 注意:请先在本地生成 SSH 密钥对,并将公钥上传到服务器的 将默认的 22 端口改为非常用端口(如 2222),可减少自动化扫描攻击: ⚠️ 如果你启用了防火墙(如 firewalld),记得放行新端口: 这些设置可防止会话长时间挂起,并限制错误登录尝试次数。 保存配置文件后,重启 sshd 服务使更改生效: 建议先不要关闭当前 SSH 会话,新开一个终端窗口测试新配置是否生效,确认无误后再退出原会话。 Fail2ban 是一个入侵防御工具,可自动封禁多次尝试失败的 IP 地址。安装命令如下: 通过以上步骤,你已经完成了 RockyLinux 服务器安全 中最关键的 SSH 防护措施。记住,安全是一个持续的过程,定期检查日志( 希望这篇 sshd 配置教程 对你有所帮助!如果你是初学者,建议先在测试环境中练习,避免影响生产环境。sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak步骤二:编辑 SSH 配置文件
sudo nano /etc/ssh/sshd_config步骤三:关键安全配置项详解
1. 禁用 root 登录
PermitRootLogin no2. 仅允许特定用户登录
adminuser
,只允许该用户通过 SSH 登录:AllowUsers adminuser3. 禁用密码认证,启用密钥认证(推荐)
PasswordAuthentication noPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys
~/.ssh/authorized_keys
文件中,再禁用密码登录,否则可能被锁在服务器外!4. 修改默认 SSH 端口(可选但推荐)
Port 2222sudo firewall-cmd --permanent --add-port=2222/tcpsudo firewall-cmd --reload5. 设置登录超时与最大尝试次数
ClientAliveInterval 300ClientAliveCountMax 2MaxAuthTries 3步骤四:重启 SSH 服务
sudo systemctl restart sshd额外建议:启用 Fail2ban(可选)
sudo dnf install fail2ban -ysudo systemctl enable --now fail2ban总结
/var/log/secure
)并更新系统同样重要。
