当前位置:首页 > 文章列表 > 文章 > linux > LinuxSSH远程登录设置详解

LinuxSSH远程登录设置详解

2025-08-08 14:18:28 0浏览 收藏

大家好,我们又见面了啊~本文《Linux SSH远程登录配置教程》的内容中将会涉及到等等。如果你正在学习文章相关知识,欢迎关注我,以后会给大家带来更多文章相关文章,希望我们能一起进步!下面就开始本文的正式内容~

配置SSH远程登录的核心步骤是安装OpenSSH服务器、修改配置文件、设置防火墙规则和用户权限。首先,安装OpenSSH服务器,在Debian/Ubuntu上用sudo apt update && sudo apt install openssh-server,CentOS/RHEL则用sudo yum install openssh-server或sudo dnf install openssh-server。其次,编辑/etc/ssh/sshd_config文件,可更改Port 22为其他端口(如2222)、设置PermitRootLogin为prohibit-password或no、关闭PasswordAuthentication(设为no)并确保PubkeyAuthentication为yes。接着,重启SSH服务使配置生效,命令为sudo systemctl restart sshd或sudo service sshd restart。然后,配置防火墙,ufw用户执行sudo ufw allow 2222/tcp(若改端口),firewalld用户使用sudo firewall-cmd --permanent --add-port=2222/tcp并重载。最后,确保目标用户存在,若使用密钥登录,需在.ssh目录下正确配置authorized_keys文件,并设置.ssh目录权限为700、authorized_keys文件权限为600。加强安全性可禁用密码登录、启用Fail2ban防暴力破解、限制允许登录的用户、定期更新OpenSSH版本。排查常见问题应检查防火墙状态、配置文件语法、SSH服务运行状态、文件权限及网络连通性,并利用ssh -vvv命令调试连接失败原因。

Linux如何配置SSH远程登录?_Linux安全连接与权限设置

Linux上配置SSH远程登录,说白了,就是让你能通过网络安全地连接到另一台Linux机器,像坐在它面前一样操作。这过程主要涉及安装SSH服务、调整一些配置文件,以及搞定防火墙和用户权限,确保连接既方便又安全。

Linux如何配置SSH远程登录?_Linux安全连接与权限设置

要让你的Linux机器能被远程访问,核心就是OpenSSH服务器。 首先,确保系统里有这玩意儿。大多数Linux发行版都预装了,如果没有,在Debian/Ubuntu系上就是sudo apt update && sudo apt install openssh-server,CentOS/RHEL系则是sudo yum install openssh-server或者sudo dnf install openssh-server。装好后,它通常会自动启动。 接着,配置文件是关键。主配置文件在/etc/ssh/sshd_config。用你喜欢的文本编辑器打开它,比如sudo nano /etc/ssh/sshd_config。 这里面有几个地方你可能需要动:

  • Port 22:这是SSH默认端口。为了安全,很多人会改成一个不常用的端口,比如Port 2222。但记得,改了之后,连接时也得指定新端口。
  • PermitRootLogin prohibit-password:默认可能是yes。强烈建议改成no或者prohibit-password。直接用root账号远程登录风险太高了,平时操作用普通用户,需要root权限时再sudo
  • PasswordAuthentication yes:如果你想用密码登录,就保持yes。但更推荐用密钥登录,那样的话,可以考虑把它改成no,提高安全性。
  • PubkeyAuthentication yes:这个通常是yes,确保密钥登录功能是开启的。 修改完配置文件,别忘了重启SSH服务,让更改生效:sudo systemctl restart sshd 或者 sudo service sshd restart。 然后就是防火墙了。Linux系统普遍有防火墙,比如ufwfirewalld。你得告诉防火墙允许SSH流量通过。
  • 如果是ufwsudo ufw allow ssh 或者 sudo ufw allow 22/tcp (如果你改了端口,就改成新端口,比如sudo ufw allow 2222/tcp),然后sudo ufw enable
  • 如果是firewalldsudo firewall-cmd --permanent --add-service=ssh (或者--add-port=22/tcp,新端口同理),然后sudo firewall-cmd --reload。 最后,确保你要登录的用户存在,并且有正确的权限。如果打算用密钥登录,需要在用户的主目录下创建.ssh目录,并把公钥放到~/.ssh/authorized_keys文件里。这个.ssh目录和authorized_keys文件的权限非常重要,通常.ssh是700,authorized_keys是600。

SSH远程连接为什么强调安全性?

SSH远程连接的安全性,这可不是小事。想想看,你通过SSH连接的机器,可能承载着你的网站、数据库,甚至是公司的核心业务数据。一旦SSH被攻破,就相当于敌人直接坐在你的服务器前,为所欲为。 最常见的安全威胁就是暴力破解(Brute-force attacks)。攻击者会尝试无数个用户名和密码组合,试图蒙对你的登录凭证。如果你的密码设置得简单,或者没有启用密钥登录,被猜中的风险就大大增加。我以前就见过一些日志,服务器每分钟都有上百次甚至上千次的SSH登录尝试,密密麻麻的,看着都心惊。 另外,中间人攻击(Man-in-the-Middle, MITM)也是个潜在风险,虽然SSH协议本身设计上已经考虑了这一点,但如果客户端不验证服务器指纹,或者服务器的密钥被泄露,还是可能被利用。 所以,强调安全性,说到底是为了保护你的数据和系统不被未授权访问、篡改或破坏。这不仅仅是技术配置,更是一种安全意识。

Linux如何配置SSH远程登录?_Linux安全连接与权限设置

如何进一步加固SSH连接的安全性?

基础配置只是第一步,要让SSH连接更坚不可摧,还得使出一些“硬核”手段。 首先,也是最推荐的,是禁用密码登录,只允许密钥登录。密钥登录比密码登录安全得多,因为它依赖于一对非对称密钥:私钥在你本地,公钥放在服务器上。没有私钥,即使知道用户名,也无法登录。在sshd_config里设置PasswordAuthentication no就能实现。 其次,更改默认SSH端口。虽然这不能阻止专业的扫描,但能有效减少那些针对默认端口22的自动化攻击。改成一个不常见的端口,比如2222或44333,能让你的服务器在大部分“噪音”中变得不那么显眼。 然后,使用Fail2ban。这是一个非常实用的工具,它能监控日志文件,一旦发现某个IP地址在短时间内多次尝试登录失败,就会自动将该IP地址封禁一段时间。这对于抵御暴力破解攻击效果显著。 再进一步,可以考虑启用两步验证(2FA/MFA)。这通常需要安装额外的PAM模块,比如Google Authenticator,让用户在输入密码或密钥后,还需要输入一个动态验证码。 还有,限制SSH登录的用户。在sshd_config里,你可以使用AllowUsersAllowGroups指令,明确指定哪些用户或用户组可以登录SSH,其他用户则无法通过SSH连接。 最后,定期更新你的OpenSSH软件包,因为安全漏洞时有发现,及时打补丁是王道。

SSH配置中常见的疑难杂症与排查方法

配置SSH,尤其是对新手来说,总会遇到些让你抓耳挠腮的问题。我个人就遇到过好几次,明明配置文件看起来没错,就是连不上。 最常见的问题是防火墙没开通端口。你改了端口,却忘了在防火墙里放行,或者防火墙服务根本没启动。这时候,用sudo ufw statussudo firewall-cmd --list-all检查一下,看看对应端口是不是真的开放了。 其次,是sshd_config配置文件语法错误或者权限问题。一个小小的拼写错误,或者多了一个空格,都可能导致SSH服务启动失败。重启服务时,systemctl status sshd或者journalctl -xe命令会告诉你详细的错误信息。另外,sshd_config文件本身的权限,以及.ssh目录和authorized_keys文件的权限,也至关重要。权限不对,SSH服务会出于安全考虑拒绝使用这些文件。比如,~/.ssh目录权限不能比700宽松,~/.ssh/authorized_keys不能比600宽松。 再来,SSH服务没启动。有时候改完配置,忘了systemctl restart sshd。或者服务启动了,但因为某种原因又挂了。检查服务状态是第一步。 网络连通性问题也得考虑。客户端到服务器之间,有没有路由不通、IP地址配置错误等问题。ping命令和traceroute(或tracert)能帮你初步判断网络状况。 当连接失败时,客户端的报错信息也很关键。使用ssh -vvv user@host命令,它会输出非常详细的调试信息,一步步告诉你SSH连接协商的每个阶段发生了什么,通常能很快定位问题所在。比如,如果提示Permission denied (publickey,password),那就要检查密钥对、authorized_keys文件权限以及sshd_config中的认证设置了。

Linux如何配置SSH远程登录?_Linux安全连接与权限设置

今天关于《LinuxSSH远程登录设置详解》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于的内容请关注golang学习网公众号!

Java生成验证码图片详细教程Java生成验证码图片详细教程
上一篇
Java生成验证码图片详细教程
Java动态接口Mock工具使用教程
下一篇
Java动态接口Mock工具使用教程
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    3215次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    2964次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    2919次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    3125次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    3079次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码