背景介绍

Secure Shell（简称SSH）是一种加密的网络协议，用于在不安全的网络中安全地远程登录和管理其他计算机，SSH通过加密技术确保数据在传输过程中的机密性和完整性，防止黑客攻击和数据篡改，Ubuntu作为一种流行的Linux发行版，默认并未启用SSH服务，因此在使用SSH之前需要手动进行配置和启动，本文将详细介绍如何在Ubuntu上安装和配置SSH，以实现安全可靠的远程访问和管理。

一、前期准备

系统要求

- 操作系统：Ubuntu 20.04或更高版本

- 网络连接：确保服务器具备稳定的网络连接

- 用户权限：需要具备sudo权限或root权限

必要工具

- 终端：用于执行命令行操作

- SSH客户端：如OpenSSH（默认安装在大多数Unix/Linux操作系统中）或PuTTY（Windows用户）

二、安装OpenSSH Server

更新软件包列表

在安装任何软件之前，首先更新系统的软件包列表，以确保获取最新的软件版本和安全补丁，打开终端并输入以下命令：

sudo apt update

安装OpenSSH Server

使用以下命令安装OpenSSH Server：

sudo apt install openssh-server -y

该命令会安装OpenSSH Server及其相关依赖项，安装完成后，SSH服务会自动启动。

验证安装

检查SSH服务是否已成功安装并启动：

sudo systemctl status ssh

如果输出显示“active (running)”，则表示SSH服务正在运行。

三、配置防火墙

为了确保SSH服务能够正常接受外部连接，需要配置防火墙规则。

允许SSH服务通过防火墙

使用ufw（Uncomplicated Firewall）命令允许SSH服务通过防火墙：

sudo ufw allow OpenSSH

启用防火墙

如果防火墙尚未启用，可以使用以下命令启用：

sudo ufw enable

验证防火墙规则

再次运行以下命令，确认SSH已被允许通过防火墙：

sudo ufw status

输出应显示类似如下的信息：

Status: active
To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)

四、配置SSH服务（可选）

编辑SSHD配置文件

默认情况下，SSH服务配置文件位于/etc/ssh/sshd_config，可以根据需求修改此文件来调整SSH服务的行为，更改默认端口号、禁用密码认证等。

使用nano或其他文本编辑器打开配置文件：

sudo nano /etc/ssh/sshd_config

常见配置选项：

更改默认端口：找到#Port 22，去掉注释符号并将端口号更改为所需的值，例如Port 2222。

禁用密码认证：找到#PasswordAuthentication yes，将其改为PasswordAuthentication no。

禁用root用户远程登录：找到#PermitRootLogin yes，将其改为PermitRootLogin no。

保存修改并退出编辑器（对于nano，按Ctrl+O保存，按Enter确认，然后按Ctrl+X退出）。

重启SSH服务

修改配置文件后，需要重启SSH服务以使更改生效：

sudo systemctl restart ssh

五、连接到SSH服务器

获取服务器IP地址

可以通过以下命令获取服务器的IP地址：

ip a

查找类似于inet x.x.x.x的行，其中x.x.x.x即为服务器的IP地址。

使用SSH客户端连接

从本地计算机或另一台远程计算机上使用SSH客户端连接到Ubuntu服务器，在终端中输入以下命令：

ssh username@server_ip_address

将username替换为你的用户名，将server_ip_address替换为服务器的IP地址，如果是非默认端口，还需添加-p参数指定端口号：

ssh username@server_ip_address -p port_number

首次连接时，会提示是否继续连接并显示主机的指纹信息：

The authenticity of host 'server_ip_address (x.x.x.x)' can't be established.
ECDSA key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no)?

输入yes并按回车继续，接着会提示输入密码，输入后即可登录到远程服务器。

使用公钥认证（可选）

为了提高安全性，推荐使用公钥认证方式而不是密码认证，步骤如下：

- 在本地计算机生成SSH密钥对：

    ssh-keygen -t rsa -b 2048

按几次回车使用默认设置，生成的密钥对默认存储在~/.ssh/id_rsa（私钥）和~/.ssh/id_rsa.pub（公钥）。

- 将公钥复制到远程服务器上的~/.ssh/authorized_keys文件中：

    ssh-copy-id username@server_ip_address

输入密码后，公钥会自动添加到远程服务器的~/.ssh/authorized_keys文件中。

- 配置SSH服务使用公钥认证：确保/etc/ssh/sshd_config文件中的PasswordAuthentication设置为no，并重启SSH服务。

六、故障排除与常见问题

SSH服务无法启动

- 确保SSH服务已安装并启用。

- 检查防火墙设置，确保允许SSH流量通过。

- 查看系统日志以获取更多错误信息：journalctl -xe。

无法连接到SSH服务器

- 确认服务器IP地址正确。

- 确保SSH服务正在监听正确的端口。

- 检查网络连接是否正常，是否存在网络阻断或防火墙阻止连接。

- 如果更改了默认端口，确保在连接时指定了新端口。

身份验证失败

- 确保输入的用户名和密码/密钥正确。

- 如果使用公钥认证，确保公钥已正确配置在服务器上。

- 检查/etc/ssh/sshd_config文件中的PasswordAuthentication和PermitRootLogin设置是否符合预期。

七、总结与最佳实践

通过本文的介绍，你已经学会了如何在Ubuntu上安装、配置和使用SSH服务，以下是一些最佳实践建议，帮助你更安全地管理远程服务器：

定期更新系统：保持操作系统和软件的最新状态，及时安装安全补丁。

使用强密码：避免使用简单密码，增加破解难度。

启用公钥认证：尽量使用公钥认证代替密码认证，提高安全性。

限制SSH访问：通过防火墙规则和SSH配置文件限制可访问SSH的用户和IP范围。

监控登录尝试：定期检查系统日志，监控异常登录尝试和安全事件。

备份重要数据：定期备份服务器上的重要数据，以防数据丢失或损坏。