一、引言

在现代计算环境中，远程访问和管理计算机系统已经成为一项重要需求，无论是管理远程服务器、进行远程办公还是执行在线协作，安全且高效地连接到目标系统都是至关重要的，SSH（Secure Shell）是一种专门用于实现远程登录和执行命令的网络协议，通过加密技术确保通信的安全性，Ubuntu作为一种流行的开源操作系统，广泛应用于个人电脑和服务器中，因此掌握如何在Ubuntu上安装和配置SSH服务器是系统管理员和普通用户需要具备的基本技能之一，本文将详细介绍如何在Ubuntu上安装SSH服务器，涵盖从基础安装到高级配置的各个方面，帮助读者建立安全可靠的远程连接环境。

二、SSH概述

SSH的定义与作用

SSH是一种加密的网络协议，主要用于远程登录和管理计算机系统，它不仅支持远程命令执行，还允许用户通过加密通道安全地传输数据，SSH的主要作用包括：

远程登录：用户可以从本地计算机远程登录到远程主机，执行命令和管理文件。

远程命令执行：在远程主机上直接执行命令，适用于批量操作和脚本运行。

文件传输：通过SCP（Secure Copy）或SFTP（SSH File Transfer Protocol），用户可以安全地传输文件。

端口转发：通过端口转发机制，用户可以绕过防火墙限制，访问内部网络资源。

SSH的工作原理

SSH使用客户端-服务器模型，客户端发起连接请求，服务器响应请求并进行身份验证，具体过程如下：

1、客户端发送连接请求给服务器。

2、服务器响应请求并发送公钥给客户端。

3、客户端验证公钥，生成一个会话密钥并回传给服务器。

4、双方使用会话密钥加密通信内容，开始数据传输。

5、身份验证通过后，客户端可以执行命令或传输文件。

SSH的优势

3.1 安全性

SSH协议设计的初衷就是安全性，它通过以下方式保证通信安全：

加密通信：所有数据传输都经过加密处理，防止中间人攻击和窃听。

身份验证：支持密码和公钥认证，确保只有授权用户才能访问系统。

数据完整性：使用哈希算法验证数据的完整性，防止数据被篡改。

3.2 灵活性

SSH支持多种身份验证方式和灵活的配置选项，适应不同的使用场景：

密码验证：简单易用，但安全性较低。

公钥验证：安全性高，但配置相对复杂。

多因素验证：结合密码和公钥等多种方式，进一步提高安全性。

3.3 跨平台支持

SSH不仅适用于Linux系统，还支持Windows、macOS等操作系统，具有良好的跨平台兼容性，无论用户使用何种操作系统，都可以通过SSH连接到远程主机进行操作。

三、准备工作

更新系统包列表

在进行任何软件安装之前，首先更新系统的包列表是非常重要的一步，这不仅确保了系统中的软件包是最新的，还能避免由于软件版本问题导致的不兼容情况，打开终端，输入以下命令来更新包列表：

sudo apt update

该命令会从配置的源中获取软件包的最新信息，并更新本地的包索引，如果需要升级现有的软件包，可以使用以下命令：

sudo apt upgrade

这将下载并安装所有可用的更新包，确保系统处于最新状态。

检查当前SSH服务器状态

在安装新的SSH服务器之前，检查系统中是否已经安装了SSH服务器以及其状态是非常重要的，默认情况下，Ubuntu可能会自带OpenSSH服务器，但可能未启动或未安装，输入以下命令检查SSH服务器状态：

sudo systemctl status ssh

如果输出显示“active (running)”，则说明SSH服务器已经在运行；如果显示“inactive (dead)”或者类似信息，则说明SSH服务器尚未安装或已停止运行，在这种情况下，需要继续执行安装步骤。

四、安装OpenSSH Server

安装OpenSSH Server

OpenSSH Server是Ubuntu中最常用的SSH服务器实现，它的安装非常简单，只需在终端中输入以下命令：

sudo apt install openssh-server

该命令会自动解决依赖关系并完成安装过程，一旦安装完成，OpenSSH服务会自动启动，并且随系统启动而自动启动。

验证安装结果

安装完成后，可以再次检查SSH服务器的状态以确保其正常运行：

sudo systemctl status ssh

如果看到类似于以下的输出，则表示SSH服务器正在运行：

● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
   Active: active (running) since [日期时间]

还可以通过尝试连接到SSH服务器来验证其是否正常工作，在本地终端输入以下命令：

ssh localhost

如果一切正常，终端会提示输入用户密码（如果是首次连接，可能会提示是否继续连接），输入密码后，如果成功登录，则说明SSH服务器正常工作。

五、配置SSH服务器

编辑SSHD配置文件

SSH服务器的主要配置文件是/etc/ssh/sshd_config，通过编辑该文件，可以自定义许多SSH服务器的行为和参数，使用以下命令打开配置文件：

sudo nano /etc/ssh/sshd_config

在文件中可以找到许多注释掉的示例配置项，可以根据需要进行修改或取消注释，更改默认的SSH端口号，增加或删除允许的用户等。

修改默认端口号（可选）

默认情况下，SSH服务器监听22端口，为了提高安全性，可以将其改为其他端口号，找到并修改以下配置项：

#Port 22
Port 2222

保存文件后，重新启动SSH服务以使更改生效：

sudo systemctl restart ssh

更改端口号后，客户端连接时需要指定新的端口号，

ssh -p 2222 username@hostname

禁用root用户远程登录（推荐）

出于安全考虑，建议禁用root用户的远程登录权限，这可以通过编辑/etc/ssh/sshd_config文件并添加以下配置项来实现：

PermitRootLogin no

保存文件后，同样需要重新启动SSH服务：

sudo systemctl restart ssh

禁用root用户远程登录后，可以使用普通用户账户登录，必要时再通过sudo命令提升权限。

允许特定用户登录（可选）

如果只想允许特定用户通过SSH登录，可以在/etc/ssh/sshd_config文件中使用AllowUsers指令，仅允许用户alice和bob登录：

AllowUsers alice bob

如果需要禁止某些用户登录，可以使用DenyUsers指令：

DenyUsers charlie dave

这些配置项可以帮助进一步控制哪些用户可以访问系统。

六、防火墙设置

检查UFW状态

Ubuntu默认使用ufw（Uncomplicated Firewall）作为防火墙工具，在配置SSH服务器之前，最好先检查ufw的状态，输入以下命令查看防火墙状态：

sudo ufw status

如果输出显示Status: inactive，则表示防火墙未启用；如果显示Status: active，则表示防火墙正在运行。

开放SSH端口

如果ufw已启用，需要确保允许SSH流量通过防火墙，假设使用的是默认的22端口，可以使用以下命令开放该端口：

sudo ufw allow 22/tcp

如果更改了SSH端口号，例如改为2222端口，则需要开放新的端口：

sudo ufw allow 2222/tcp

启用所需的端口后，再次检查ufw状态以确认更改：

sudo ufw status

应该能看到类似以下的输出：

22/tcp                   ALLOWN Anywhere                   ALLOWN Anywhere

这表明22端口已成功开放。

启用防火墙（如果尚未启用）

如果ufw尚未启用，可以使用以下命令启动防火墙：

sudo ufw enable

然后按照上述步骤开放SSH端口，启用防火墙后，可能需要重新配置一些已有的服务以确保它们能够正常工作。

七、测试SSH连接

1.