ubuntu ssh如何保障安全

要保障Ubuntu SSH的安全，可以采取以下措施：

修改默認端口

• 原因：使用默認端口（22）容易受到自動化攻擊。
• 操作：編輯 /etc/ssh/sshd_config 文件，將端口設置為非標準端口（如2222），以減少被自動掃描工具發現的幾率。

  Port 2222
  

• 重啟SSH服務：

  sudo systemctl restart sshd
  

禁用root登錄

• 原因：root用戶直接登錄存在安全風險。
• 操作：在配置文件 /etc/ssh/sshd_config 中設置：

  PermitRootLogin no
  

• 重啟SSH服務：

  sudo systemctl restart sshd
  

使用密鑰認證

• 原因：密鑰認證比密碼認證更安全。
• 操作：
  • 在本地機器上生成SSH密鑰對：

    ssh-keygen -t rsa -b 4096
    

  • 將公鑰復制到遠程服務器的 ~/.ssh/authorized_keys 文件中：

    ssh-copy-id user@server_ip
    

• 配置SSH服務器：確保遠程服務器的SSH配置允許密鑰認證。編輯遠程服務器上的 /etc/ssh/sshd_config 文件，確保以下行沒有被注釋掉：

  PubkeyAuthentication yes
  AuthorizedKeysFile .ssh/authorized_keys
  

• 重啟SSH服務：

  sudo systemctl restart sshd
  

限制SSH訪問

• 使用防火墻：使用UFW（Uncomplicated Firewall）限制SSH端口的訪問。

  sudo ufw allow 2222/tcp
  sudo ufw enable
  

• 使用Fail2Ban：Fail2Ban是一個入侵防御軟件框架，可以監控日志文件并禁止惡意IP地址訪問SSH。

  sudo apt get install fail2ban
  sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.locals
  sudo nano /etc/fail2ban/jail.local
  

  在 [ssh] 部分進行如下配置：

  [ssh]
  enabled = true
  port = 2222
  filter = sshd
  logpath = /var/log/auth.log
  maxretry = 3
  bantime = 600
  

  重啟Fail2Ban服務：

  sudo systemctl restart fail2ban
  

定期更新系統和軟件

• 定期更新：保持Ubuntu系統和OpenSSH服務保持最新版本，以避免潛在的安全漏洞。

  sudo apt update
  sudo apt upgrade
  

其他安全建議

• 使用強加密協議：確保使用較新且更安全的加密協議，如ECDSA密鑰而不是DSA。
• 監控和審計：啟用SSH服務器的審計功能，記錄所有登錄嘗試和活動，定期檢查日志文件。
• 密鑰管理：定期更換服務器和用戶密鑰（建議每6-12個月）。

通過以上步驟，可以顯著提高Ubuntu SSH的安全性，保護系統和數據不受未經授權的訪問和攻擊。