LinuxSSH远程登录设置详解

大家好，我们又见面了啊~本文《Linux SSH远程登录配置教程》的内容中将会涉及到等等。如果你正在学习文章相关知识，欢迎关注我，以后会给大家带来更多文章相关文章，希望我们能一起进步！下面就开始本文的正式内容~

配置SSH远程登录的核心步骤是安装OpenSSH服务器、修改配置文件、设置防火墙规则和用户权限。首先，安装OpenSSH服务器，在Debian/Ubuntu上用sudo apt update && sudo apt install openssh-server，CentOS/RHEL则用sudo yum install openssh-server或sudo dnf install openssh-server。其次，编辑/etc/ssh/sshd_config文件，可更改Port 22为其他端口（如2222）、设置PermitRootLogin为prohibit-password或no、关闭PasswordAuthentication（设为no）并确保PubkeyAuthentication为yes。接着，重启SSH服务使配置生效，命令为sudo systemctl restart sshd或sudo service sshd restart。然后，配置防火墙，ufw用户执行sudo ufw allow 2222/tcp（若改端口），firewalld用户使用sudo firewall-cmd --permanent --add-port=2222/tcp并重载。最后，确保目标用户存在，若使用密钥登录，需在.ssh目录下正确配置authorized_keys文件，并设置.ssh目录权限为700、authorized_keys文件权限为600。加强安全性可禁用密码登录、启用Fail2ban防暴力破解、限制允许登录的用户、定期更新OpenSSH版本。排查常见问题应检查防火墙状态、配置文件语法、SSH服务运行状态、文件权限及网络连通性，并利用ssh -vvv命令调试连接失败原因。

Linux上配置SSH远程登录，说白了，就是让你能通过网络安全地连接到另一台Linux机器，像坐在它面前一样操作。这过程主要涉及安装SSH服务、调整一些配置文件，以及搞定防火墙和用户权限，确保连接既方便又安全。

要让你的Linux机器能被远程访问，核心就是OpenSSH服务器。 首先，确保系统里有这玩意儿。大多数Linux发行版都预装了，如果没有，在Debian/Ubuntu系上就是sudo apt update && sudo apt install openssh-server，CentOS/RHEL系则是sudo yum install openssh-server或者sudo dnf install openssh-server。装好后，它通常会自动启动。 接着，配置文件是关键。主配置文件在/etc/ssh/sshd_config。用你喜欢的文本编辑器打开它，比如sudo nano /etc/ssh/sshd_config。 这里面有几个地方你可能需要动：

• Port 22：这是SSH默认端口。为了安全，很多人会改成一个不常用的端口，比如Port 2222。但记得，改了之后，连接时也得指定新端口。
• PermitRootLogin prohibit-password：默认可能是yes。强烈建议改成no或者prohibit-password。直接用root账号远程登录风险太高了，平时操作用普通用户，需要root权限时再sudo。
• PasswordAuthentication yes：如果你想用密码登录，就保持yes。但更推荐用密钥登录，那样的话，可以考虑把它改成no，提高安全性。
• PubkeyAuthentication yes：这个通常是yes，确保密钥登录功能是开启的。 修改完配置文件，别忘了重启SSH服务，让更改生效：sudo systemctl restart sshd 或者 sudo service sshd restart。 然后就是防火墙了。Linux系统普遍有防火墙，比如ufw或firewalld。你得告诉防火墙允许SSH流量通过。
• 如果是ufw：sudo ufw allow ssh 或者 sudo ufw allow 22/tcp (如果你改了端口，就改成新端口，比如sudo ufw allow 2222/tcp)，然后sudo ufw enable。
• 如果是firewalld：sudo firewall-cmd --permanent --add-service=ssh (或者--add-port=22/tcp，新端口同理)，然后sudo firewall-cmd --reload。 最后，确保你要登录的用户存在，并且有正确的权限。如果打算用密钥登录，需要在用户的主目录下创建.ssh目录，并把公钥放到~/.ssh/authorized_keys文件里。这个.ssh目录和authorized_keys文件的权限非常重要，通常.ssh是700，authorized_keys是600。

SSH远程连接为什么强调安全性？

SSH远程连接的安全性，这可不是小事。想想看，你通过SSH连接的机器，可能承载着你的网站、数据库，甚至是公司的核心业务数据。一旦SSH被攻破，就相当于敌人直接坐在你的服务器前，为所欲为。 最常见的安全威胁就是暴力破解（Brute-force attacks）。攻击者会尝试无数个用户名和密码组合，试图蒙对你的登录凭证。如果你的密码设置得简单，或者没有启用密钥登录，被猜中的风险就大大增加。我以前就见过一些日志，服务器每分钟都有上百次甚至上千次的SSH登录尝试，密密麻麻的，看着都心惊。 另外，中间人攻击（Man-in-the-Middle, MITM）也是个潜在风险，虽然SSH协议本身设计上已经考虑了这一点，但如果客户端不验证服务器指纹，或者服务器的密钥被泄露，还是可能被利用。 所以，强调安全性，说到底是为了保护你的数据和系统不被未授权访问、篡改或破坏。这不仅仅是技术配置，更是一种安全意识。

如何进一步加固SSH连接的安全性？

基础配置只是第一步，要让SSH连接更坚不可摧，还得使出一些“硬核”手段。 首先，也是最推荐的，是禁用密码登录，只允许密钥登录。密钥登录比密码登录安全得多，因为它依赖于一对非对称密钥：私钥在你本地，公钥放在服务器上。没有私钥，即使知道用户名，也无法登录。在sshd_config里设置PasswordAuthentication no就能实现。 其次，更改默认SSH端口。虽然这不能阻止专业的扫描，但能有效减少那些针对默认端口22的自动化攻击。改成一个不常见的端口，比如2222或44333，能让你的服务器在大部分“噪音”中变得不那么显眼。 然后，使用Fail2ban。这是一个非常实用的工具，它能监控日志文件，一旦发现某个IP地址在短时间内多次尝试登录失败，就会自动将该IP地址封禁一段时间。这对于抵御暴力破解攻击效果显著。 再进一步，可以考虑启用两步验证（2FA/MFA）。这通常需要安装额外的PAM模块，比如Google Authenticator，让用户在输入密码或密钥后，还需要输入一个动态验证码。 还有，限制SSH登录的用户。在sshd_config里，你可以使用AllowUsers或AllowGroups指令，明确指定哪些用户或用户组可以登录SSH，其他用户则无法通过SSH连接。 最后，定期更新你的OpenSSH软件包，因为安全漏洞时有发现，及时打补丁是王道。

SSH配置中常见的疑难杂症与排查方法

配置SSH，尤其是对新手来说，总会遇到些让你抓耳挠腮的问题。我个人就遇到过好几次，明明配置文件看起来没错，就是连不上。 最常见的问题是防火墙没开通端口。你改了端口，却忘了在防火墙里放行，或者防火墙服务根本没启动。这时候，用sudo ufw status或sudo firewall-cmd --list-all检查一下，看看对应端口是不是真的开放了。 其次，是sshd_config配置文件语法错误或者权限问题。一个小小的拼写错误，或者多了一个空格，都可能导致SSH服务启动失败。重启服务时，systemctl status sshd或者journalctl -xe命令会告诉你详细的错误信息。另外，sshd_config文件本身的权限，以及.ssh目录和authorized_keys文件的权限，也至关重要。权限不对，SSH服务会出于安全考虑拒绝使用这些文件。比如，~/.ssh目录权限不能比700宽松，~/.ssh/authorized_keys不能比600宽松。 再来，SSH服务没启动。有时候改完配置，忘了systemctl restart sshd。或者服务启动了，但因为某种原因又挂了。检查服务状态是第一步。 网络连通性问题也得考虑。客户端到服务器之间，有没有路由不通、IP地址配置错误等问题。ping命令和traceroute（或tracert）能帮你初步判断网络状况。 当连接失败时，客户端的报错信息也很关键。使用ssh -vvv user@host命令，它会输出非常详细的调试信息，一步步告诉你SSH连接协商的每个阶段发生了什么，通常能很快定位问题所在。比如，如果提示Permission denied (publickey,password)，那就要检查密钥对、authorized_keys文件权限以及sshd_config中的认证设置了。

今天关于《LinuxSSH远程登录设置详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！