RockyLinux SSH 安全加固指南（手把手教你配置 RockyLinux sshd 安全设置）

为什么需要 SSH 安全加固？

默认的 SSH 配置虽然可用，但存在许多安全隐患，例如允许 root 登录、使用弱密码认证、开放所有 IP 访问等。通过合理的 SSH 安全加固，可以显著降低被暴力破解或未授权访问的风险。

准备工作

在开始之前，请确保：

• 你已通过 SSH 登录到 RockyLinux 服务器
• 你拥有 sudo 权限
• 你已备份原始配置文件（以防配置出错无法登录）

步骤一：备份原始配置文件

在修改任何配置前，务必备份原始文件：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

步骤二：编辑 SSH 配置文件

使用你喜欢的文本编辑器（如 nano 或 vim）打开配置文件：

sudo nano /etc/ssh/sshd_config

步骤三：关键安全配置项详解

在配置文件中，找到并修改以下选项（若不存在则添加）：

1. 禁用 root 登录

防止攻击者直接尝试破解 root 密码：

PermitRootLogin no

2. 仅允许特定用户登录

假设你创建了一个普通用户 adminuser，只允许该用户通过 SSH 登录：

AllowUsers adminuser

3. 禁用密码认证，启用密钥认证（推荐）

密钥认证比密码更安全，可有效防止暴力破解：

PasswordAuthentication noPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys

注意：请先在本地生成 SSH 密钥对，并将公钥上传到服务器的 ~/.ssh/authorized_keys 文件中，再禁用密码登录，否则可能被锁在服务器外！

4. 修改默认 SSH 端口（可选但推荐）

将默认的 22 端口改为非常用端口（如 2222），可减少自动化扫描攻击：

Port 2222

⚠️ 如果你启用了防火墙（如 firewalld），记得放行新端口：

sudo firewall-cmd --permanent --add-port=2222/tcpsudo firewall-cmd --reload

5. 设置登录超时与最大尝试次数

ClientAliveInterval 300ClientAliveCountMax 2MaxAuthTries 3

这些设置可防止会话长时间挂起，并限制错误登录尝试次数。

步骤四：重启 SSH 服务

保存配置文件后，重启 sshd 服务使更改生效：

sudo systemctl restart sshd

建议先不要关闭当前 SSH 会话，新开一个终端窗口测试新配置是否生效，确认无误后再退出原会话。

额外建议：启用 Fail2ban（可选）

Fail2ban 是一个入侵防御工具，可自动封禁多次尝试失败的 IP 地址。安装命令如下：

sudo dnf install fail2ban -ysudo systemctl enable --now fail2ban

总结

通过以上步骤，你已经完成了 RockyLinux 服务器安全 中最关键的 SSH 防护措施。记住，安全是一个持续的过程，定期检查日志（/var/log/secure）并更新系统同样重要。

希望这篇 sshd 配置教程 对你有所帮助！如果你是初学者，建议先在测试环境中练习，避免影响生产环境。