为什么需要 SSH 加固?
VPS 默认 SSH 配置容易被暴力破解。全球每天有大量自动化扫描尝试弱密码登录,加固 SSH 是第一道防线。
1. 修改 SSH 端口
sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
systemctl restart sshd 记得在防火墙中开放新端口。
2. 禁用 root 密码登录
# 先创建普通用户并配置密钥
adduser deploy
usermod -aG sudo deploy # 上传公钥
mkdir -p /home/deploy/.ssh
echo "你的公钥" > /home/deploy/.ssh/authorized_keys
chmod 600 /home/deploy/.ssh/authorized_keys
chown -R deploy:deploy /home/deploy/.ssh 修改 /etc/ssh/sshd_config:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes 3. 安装 fail2ban
apt install fail2ban -y
systemctl enable fail2ban 4. 检查清单
- [ ] 已修改默认端口
- [ ] 已禁用密码登录
- [ ] 已配置密钥认证
- [ ] 已安装 fail2ban
- [ ] 防火墙只开放必要端口