OpenSSH 是 Linux 和类 Unix 系统中最常用的远程登录和文件传输工具,其安全性与灵活性广受认可。然而,很多用户在初次配置时容易忽略关键细节,导致连接失败或存在安全隐患。本文将通过三个具体场景,带你深入理解 openssh配置 的核心要点。
默认情况下,SSH 服务监听 22 端口,这使得服务器极易成为自动化脚本攻击的目标。将 SSH 端口修改为非标准端口(如 2222) 可有效降低被扫描的风险。操作方法是在 /etc/ssh/sshd_config 文件中找到 #Port 22 行,取消注释并改为 Port 2222,保存后重启服务:sudo systemctl restart sshd。注意:修改前务必确保防火墙已放行新端口,否则可能造成无法连接。
使用 SSH 密钥对替代密码登录 是提升安全性的黄金标准。生成密钥可通过 ssh-keygen -t ed25519 命令完成,公钥(~/.ssh/id_ed25519.pub)需复制到服务器的 ~/.ssh/authorized_keys 文件中。随后在 sshd_config 中设置 PasswordAuthentication no 和 PubkeyAuthentication yes,重启服务即可生效。某运维团队曾因未禁用密码登录,导致服务器被暴力破解,损失惨重——这一教训凸显了密钥认证的重要性。
并非所有系统用户都需要 SSH 访问权限。通过 AllowUsers 或 AllowGroups 指令可精确控制谁能登录。例如,在配置文件中添加 AllowUsers alice bob@192.168.1.*,表示仅允许用户 alice 从任意地址、bob 仅从内网 IP 登录。某企业曾因未限制 root 用户远程登录,导致一次内部误操作引发服务中断。合理配置访问控制,既能保障运维效率,又能规避风险。
掌握这些 openssh配置 技巧,不仅能提升系统安全性,还能增强管理效率。建议定期审查配置文件,并结合日志(/var/log/auth.log)监控异常登录行为,构建更稳健的远程访问体系。