云服务器SSH服务配置全攻略：安全远程登录一步到位

IT巴士 2025年03月21日 22:55 26 0

在云服务器上配置SSH服务是确保远程访问安全的第一步。想象一下，你刚刚租了一台云服务器，兴奋地准备开始部署你的项目。但在这之前，你得先确保自己能安全地登录到服务器。SSH（Secure Shell）就是那个让你远程登录的“钥匙”，而配置好它，就是确保这把钥匙既好用又安全的关键。

生成SSH密钥对

首先，我们需要在本地机器上生成一对SSH密钥。这就像是你和服务器之间的“秘密握手”。打开终端，输入以下命令：

`bash ssh-keygen -t rsa -b 4096 `

这个命令会生成一个4096位的RSA密钥对。系统会提示你选择保存密钥的位置，默认是 ~/.ssh/id_rsa。你可以直接按回车键接受默认路径，或者输入一个自定义路径。接下来，系统会问你是否要为密钥设置密码。这一步是可选的，但如果你希望增加一层安全保障，可以设置一个密码。

生成密钥后，你会得到两个文件：id_rsa（私钥）和 id_rsa.pub（公钥）。私钥要好好保管，千万别泄露出去，而公钥则是你要上传到服务器的部分。

上传公钥至服务器

有了公钥，接下来就是把它上传到服务器。你可以使用 ssh-copy-id 这个便捷的工具来完成这个任务：

`bash ssh-copy-id -i ~/.ssh/id_rsa.pub username@server_ip `

这个命令会自动将你的公钥添加到服务器的 ~/.ssh/authorized_keys 文件中。如果你没有 ssh-copy-id，也可以手动操作。打开 id_rsa.pub 文件，复制里面的内容，然后登录到服务器，将内容粘贴到 ~/.ssh/authorized_keys 文件中。

配置服务器SSH服务

现在，公钥已经在服务器上了，接下来我们需要确保服务器的SSH服务配置正确。打开服务器的 /etc/ssh/sshd_config 文件，找到 PubkeyAuthentication 这一行，确保它设置为 yes：

`bash PubkeyAuthentication yes `

这一步是为了启用公钥认证。接下来，检查 ~/.ssh/authorized_keys 文件的权限。这个文件的权限应该是 600，而 .ssh 目录的权限应该是 700。如果权限不对，可以使用以下命令来修正：

`bash chmod 600 ~/.ssh/authorized_keys chmod 700 ~/.ssh `

这些配置确保了只有你拥有私钥的情况下，才能通过SSH登录到服务器。这样一来，即使有人知道你的服务器IP和用户名，没有私钥也无法登录。

测试登录

配置完成后，是时候测试一下了。回到本地机器，输入以下命令：

`bash ssh username@server_ip `

如果一切顺利，你应该能够直接登录到服务器，而不需要输入密码。这是因为SSH已经识别了你的公钥，并通过私钥完成了认证。

防火墙配置

如果你更改了SSH的默认端口（比如从22改到2222），别忘了在防火墙中开放这个新端口。使用以下命令：

`bash firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --reload `

如果你没有更改端口，确保默认的22端口已经开放：

`bash firewall-cmd --permanent --add-service=ssh firewall-cmd --reload `

这些步骤确保了你的SSH服务既安全又可用。接下来，你就可以放心地在云服务器上部署你的项目了！

在完成了基础的SSH配置后，你可能已经能够顺利登录到你的云服务器了。但别急着庆祝，安全配置才刚刚开始。想象一下，你的服务器就像一座城堡，SSH是它的城门。虽然你已经有了钥匙，但如果城门不够坚固，依然可能被攻破。所以，接下来我们要做的，就是让这座城门更加坚不可摧。

修改默认SSH端口

首先，我们得让那些不怀好意的“访客”找不到城门。默认情况下，SSH服务使用的是22端口。这个端口就像是一个公开的秘密，大家都知道它在哪里。所以，第一步就是把这个端口改成一个不那么显眼的数字。比如，2222。

打开服务器的 /etc/ssh/sshd_config 文件，找到 Port 22 这一行，把它改成你想要的端口号，比如 Port 2222。保存文件后，别忘了重启SSH服务：

`bash systemctl restart sshd `

这样一来，那些试图通过22端口攻击你的服务器的人，就会像在迷宫里转圈一样，找不到入口。

配置防火墙规则

改了端口之后，别忘了告诉防火墙这个新变化。如果你使用的是 firewalld，可以通过以下命令开放新端口：

`bash firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --reload `

如果你没有更改端口，确保默认的22端口已经开放：

`bash firewall-cmd --permanent --add-service=ssh firewall-cmd --reload `

防火墙就像城堡的护城河，确保只有经过允许的流量才能通过。配置好防火墙规则，你的服务器就会更加安全。

SELinux配置（可选）

如果你的服务器启用了SELinux（安全增强型Linux），并且你更改了SSH端口，那么还需要更新SELinux的配置。SELinux就像是一个严格的守卫，它会检查每一个进出的请求是否符合规则。

使用以下命令来更新SELinux配置：

`bash semanage port -a -t ssh_port_t -p tcp 2222 `

然后，重启SSH服务：

`bash systemctl restart sshd `

这样一来，SELinux就会知道新的SSH端口是合法的，不会阻止你的登录请求。

禁用密码认证

最后，我们要彻底杜绝那些试图通过暴力破解密码登录的“入侵者”。既然我们已经有了更安全的公钥认证，为什么还要保留密码认证呢？

打开 /etc/ssh/sshd_config 文件，找到 PasswordAuthentication 这一行，把它改成 no：

`bash PasswordAuthentication no `

保存文件后，重启SSH服务：

`bash systemctl restart sshd `

这样一来，即使有人知道你的用户名和密码，也无法通过SSH登录到你的服务器。只有拥有私钥的人，才能通过这道“城门”。

测试登录

配置完成后，别忘了再次测试一下。使用新的端口和密钥登录：

`bash ssh username@server_ip -p 2222 `

如果一切正常，你应该能够顺利登录，而不需要输入密码。这样一来，你的服务器就变得更加安全了。

通过这些步骤，你的SSH服务已经从基础的配置升级到了更加安全的级别。现在，你可以放心地在云服务器上部署你的项目，而不必担心那些不怀好意的“访客”了。

配置好SSH服务后，虽然我们已经做了很多安全增强措施，但服务器毕竟是一个复杂的系统，难免会遇到一些问题。有时候，你可能突然无法通过SSH登录到服务器，或者连接速度异常缓慢。这时候，别慌，我们可以通过一些简单的步骤来排查问题。

测试SSH连接

首先，最直接的方式就是测试SSH连接。如果你发现无法登录，先别急着怀疑是服务器出了问题。有时候，问题可能出在你的本地网络或者客户端配置上。

你可以尝试使用以下命令来测试连接：

`bash ssh -v username@server_ip -p 2222 `

这里的 -v 参数会输出详细的调试信息，帮助你了解连接过程中发生了什么。如果连接失败，输出的信息会告诉你具体是在哪个步骤出了问题。比如，可能是密钥认证失败，或者端口被防火墙阻止了。

查看SSH服务日志

如果测试连接后依然无法找到问题，那么下一步就是查看SSH服务的日志。SSH服务的日志通常记录了所有连接尝试的详细信息，包括成功和失败的登录。

你可以使用以下命令来查看SSH服务的日志：

`bash journalctl -u sshd `

这个命令会输出SSH服务的所有日志信息。你可以仔细查看最近的时间段，看看是否有异常的登录尝试或者错误信息。比如，如果你看到大量的“Failed password”记录，那可能是有人在尝试暴力破解你的服务器。

SSH配置语法检查

有时候，问题可能出在SSH的配置文件上。比如，你可能在修改 /etc/ssh/sshd_config 文件时不小心打错了某个参数，导致SSH服务无法正常启动。

为了避免这种情况，你可以使用以下命令来检查SSH配置文件的语法是否正确：

`bash sshd -t `

这个命令会检查配置文件的语法，并输出任何可能的错误。如果配置文件没有问题，命令不会输出任何内容。如果发现问题，它会告诉你具体是哪一行出了问题，方便你快速定位和修复。

常见问题解决方案

在维护SSH服务的过程中，有一些常见问题可能会频繁出现。这里列举几个常见问题及其解决方案：

1. 无法通过SSH登录

如果你无法通过SSH登录到服务器，首先检查以下几点： - 确保你使用了正确的端口号和IP地址。 - 检查你的公钥是否已经正确上传到服务器的 ~/.ssh/authorized_keys 文件中。 - 确保服务器的SSH服务正在运行，可以使用 systemctl status sshd 来查看服务状态。