Debian 作为广受开发者和系统管理员青睐的Linux发行版,其默认集成的 OpenSSH 服务是远程管理服务器的核心工具。然而,若配置不当,OpenSSH也可能成为攻击入口。本文结合真实运维场景,提供三个关键细节,帮助用户提升安全性。
大多数自动化脚本会针对22端口发起暴力破解。在Debian中,可通过编辑 /etc/ssh/sshd_config 文件,将 Port 22 改为其他高位端口(如 Port 22222),然后重启服务:sudo systemctl restart ssh。这一简单操作能有效减少90%以上的自动扫描尝试,已在多个生产环境中验证效果。
密码容易被暴力破解,而SSH密钥对则更安全。在Debian中,生成密钥后,需在 sshd_config 中设置 PasswordAuthentication no 和 PubkeyAuthentication yes。某高校实验室曾因未关闭密码登录,导致服务器被植入挖矿程序,事后全面切换至密钥认证后未再发生类似事件。
通过 AllowUsers 或 AllowGroups 指令,可限定仅特定用户能通过SSH登录。例如:AllowUsers alice@192.168.1.* bob 表示只允许alice从内网、bob从任意IP登录。一家初创公司在遭遇内部越权访问后,采用此策略成功隔离了开发与运维权限,显著提升了审计清晰度。
合理配置OpenSSH不仅能保障Debian系统的远程访问安全,还能大幅降低运维风险。建议定期检查日志(/var/log/auth.log)并保持软件更新,以应对新出现的漏洞威胁。