前言：当你的服务器在“裸奔”

想象一下：你的服务器像穿着睡衣逛大街的宅男，SSH端口默认22，密码是`123456`，黑客看了直呼“拿来吧你！”（别问我怎么知道的…）今天咱就用专业但不秃头的方式，教你给SSH配置穿上“防弹衣”，顺便附赠几个骚操作！

一、SSH是啥？为啥要改配置？

专业比喻：SSH就像服务器的VIP通道，默认配置相当于把钥匙插在门上。黑客用`nmap`扫一圈，就能发现你家门牌号（22端口）和锁芯型号（OpenSSH版本），接着暴力破解分分钟上演《黑客帝国》。

真实案例：某博主（不是我！）用默认SSH配置的服务器，1小时内收到300+暴力破解尝试日志，吓得连夜改了端口+密钥登录。

二、改SSH配置的硬核四件套

1. 换端口：让黑客玩“躲猫猫”

操作步骤：

```bash

sudo nano /etc/ssh/sshd_config

用你喜欢的编辑器

找到

Port 22，改成 Port 54321（随便选个5位数端口）

```

专业解释：

- 避免被自动化工具扫描（22端口是黑客的“重点关照对象”）。

- 但别用`2222`、`8080`这种常见替代端口——黑客也不傻！

幽默警告：改完记得防火墙放行新端口！否则你会体验到“自己把自己锁门外”的哲学困境。

2. 禁用密码登录：改用密钥对，让黑客哭晕在厕所

本地生成密钥对（Windows用PuTTYgen，Mac/Linux用ssh-keygen）

ssh-keygen -t ed25519 -C "your_email@example.com"

ED25519比RSA更安全更快

将公钥上传到服务器

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server -p 54321

然后修改sshd_config：

PasswordAuthentication no

关闭密码登录

PubkeyAuthentication yes

启用密钥登录

专业优势：

- 密钥相当于“指纹锁”，暴力破解彻底失效。

- ED25519算法比传统RSA更抗量子计算（虽然黑客暂时还没量子计算机…）。

3. 限制用户登录：别让阿猫阿狗都进来

在`sshd_config`里加这两行：

AllowUsers your_username

只允许特定用户登录

DenyUsers root

禁止root直接登录（防止提权攻击）

真实翻车现场：某公司运维用root账号SSH被黑，黑客直接`rm -rf /*`，结局太美不敢看…

4. Fail2Ban：给黑客送“封号大礼包”

安装Fail2Ban自动封禁暴力破解IP：

sudo apt install fail2ban

Debian/Ubuntu

sudo systemctl enable --now fail2ban

效果如下图：（此处可插虚拟日志图）

> [2024-01-01] Fail2Ban: Banned IP 666.666.666.666 for brute force SSH attempts

三、高阶骚操作（装X必备）

1. SSH隧道：当一回“网络007”

把本地流量加密转发到服务器：

ssh -D 1080 user@server -p 54321

SOCKS5代理诞生！

用途举例：绕过公司WiFi限制刷剧（老板别打我）。

2. MOTD警告信息：吓退脚本小子

编辑`/etc/motd`，加一句：

```

警告！本服务器已记录你的IP和违法行为！（其实可能没有）

四、改完记得自检！否则…🌚

1. 测试新配置再重启！否则可能原地失联:

```bash

sudo sshd -t && sudo systemctl restart sshd

```

2. 留个备用SSH会话窗口:

重启前开个新窗口挂着，万一配错还能抢救。

五、表：安全加固段位对照表

| 段位 | 操作 | 防护等级 |

|||-|

|青铜 |只改端口 | 🌟 |

|黄金 |改端口+密钥登录 | 🌟🌟🌟 |

|王者 |全配置+Fail2Ban+隧道 | 🌟🌟🌟🌟🌟 |

现在你的服务器已经从“裸奔”升级到“钢铁侠战衣”了！下次遇到黑客扫描？优雅地甩他一句：“Sorry, the princess is in another castle~”（马里奥梗永不过时！）

PS:如果手滑把自己锁外面了…准备好VNC或者去机房吧（手动狗头）。

TAG:怎么改服务器ssh配置,服务器设置ssh登录,怎么改服务器ssh配置信息,ssh服务器配置步骤,怎么修改服务器配置