要有效屏蔽并防御SSH攻击,单纯依靠封禁IP是治标不治本的,必须构建一套“最小化暴露面+强认证机制+主动防御策略”的多层级纵深防御体系,核心上文归纳在于:必须强制使用SSH密钥对登录并禁用密码认证,结合Fail2Ban等工具自动封禁暴力破解IP,同时通过防火墙限制访问来源,将服务器隐藏在攻击者的扫描雷达之外。
基础加固:切断攻击者的“敲门砖”
绝大多数SSH攻击都是基于密码的暴力破解或字典攻击,第一步也是最关键的一步,是从认证机制上彻底杜绝这种可能性。
强制使用SSH密钥对认证
传统的密码认证在算力强大的僵尸网络面前极其脆弱。SSH密钥对(公钥与私钥)基于非对称加密算法,其破解难度在数学上几乎是不可行的,管理员应在本地生成密钥对,将公钥部署到服务器的~/.ssh/authorized_keys中,并严格设置私钥的本地权限。
禁用Root用户直接登录
Root账户是Linux系统中权限最高的账户,也是攻击者首要瞄准的目标,一旦Root密码被破解,服务器将完全沦陷,应在SSH配置文件/etc/ssh/sshd_config中设置PermitRootLogin no,强制攻击者必须先猜出一个普通用户名,再尝试提权,这大大增加了攻击的复杂度。
修改默认SSH端口
SSH默认使用22端口,全网扫描脚本会优先扫描该端口。将SSH端口修改为一个高位随机端口(如22222或更高),虽然不能提供实质性的加密保护,但能有效过滤掉大量基于自动化脚本的无差别广撒网式扫描,减少系统日志的垃圾填充,降低被盯上的概率。
访问控制:构建物理隔离的“白名单”
如果服务器的使用场景固定(例如仅限于管理员办公地或特定跳板机),基于IP地址的访问控制是最有效的屏蔽手段。
利用TCP Wrappers与防火墙策略
通过配置/etc/hosts.allow和/etc/hosts.deny,或者使用iptables/firewalld/ufw,仅允许受信任的IP地址段连接SSH端口,这种“白名单”机制遵循“默认拒绝”原则,任何不在白名单内的连接尝试都会在底层直接被丢弃,甚至不会到达SSH守护进程,从而从根本上消除了被攻击的风险。
配置端口敲门
对于安全性要求极高的环境,可以部署Port Knocking(端口敲门)技术,系统默认不开放SSH端口,只有管理员按照特定的顺序访问预先定义的一系列关闭端口(如敲击1001 -> 1002 -> 1003),防火墙才会动态开放SSH端口给该源IP,这相当于给服务器加了一道隐形的门,只有知道“暗号”的人才能进入。
主动防御:自动化拦截恶意行为
在开放了互联网访问的场景下,无法完全限制IP,此时需要引入入侵防御系统(IDS)级别的工具来动态识别并阻断攻击。
部署Fail2Ban
Fail2Ban是Linux服务器防御SSH攻击的标配工具,它通过监控/var/log/auth.log或/var/log/secure等日志文件,实时分析登录失败行为,一旦检测到某个IP在短时间内多次尝试登录失败(例如10分钟内失败3次),Fail2Ban会自动调用防火墙(如iptables)将该IP加入封禁列表,封禁时间可由管理员设定(如1小时、1天或永久),这种方式能有效遏制暴力破解攻击,消耗攻击者的资源。
优化Fail2Ban策略
默认配置可能不足以应对复杂的攻击,建议调整bantime(封禁时间)、findtime(查找时间)和maxretry(最大重试次数),将maxretry设置为3,bantime设置为86400(一天),可以极大增加攻击者的时间成本,可以配置Fail2Ban发送邮件通知,让管理员实时感知安全态势。
高阶安全:引入多因素认证(MFA)
为了在密钥认证的基础上增加一层保险,可以引入Google Authenticator等多因素认证(MFA)机制,即使攻击者窃取了你的私钥文件,没有手机上动态生成的验证码(TOTP),依然无法登录服务器,在/etc/pam.d/sshd中配置pam_google_authenticator,结合SSH密钥,实现了“你所拥有的(私钥)”与“你所知道的(验证码)”的双重验证,是目前业界的最高安全标准之一。
持续监控与日志审计
防御不是一劳永逸的,管理员应定期检查/var/log/secure或/var/log/auth.log,分析异常登录记录,利用工具如last、who查看当前登录用户,确保没有未经授权的会话,对于关键服务器,建议部署集中式日志管理系统(如ELK Stack),以便在发生安全事件时进行溯源分析。
相关问答
Q1:修改SSH端口后,使用scp命令传输文件该如何指定端口?
A: 在使用scp命令时,需要使用-P参数(大写P)来指定目标服务器的SSH端口,将本地文件test.txt传输到远程服务器的/home/user目录,端口为22222,命令应为:scp -P 22222 test.txt user@remote_host:/home/user,ssh命令使用小写-p,而scp使用大写-P。
Q2:如果我不小心把自己封禁了,无法通过SSH登录服务器怎么办?
A: 这种情况可以通过服务器的控制台(VNC或Web Console)解决,大多数云服务商(如阿里云、腾讯云、AWS)都提供了网页版的直接控制台访问入口,不经过SSH层,登录控制台后,可以使用root权限检查Fail2Ban的状态,解封你的IP(fail2ban-client set sshd unbanip YOUR_IP),或者检查防火墙规则并重置服务。
如果您在配置SSH安全策略的过程中遇到具体的报错或疑问,欢迎在评论区留言,我们将为您提供进一步的技术支持。
