Linux网络服务：搭建与管理SSH服务器

# 1. 介绍

## 1.1 什么是SSH服务器

SSH（Secure Shell）是一种加密的网络传输协议，用于在不安全的网络上安全地运行网络服务。SSH服务器是安装并运行SSH协议的服务器软件，用于提供安全的远程访问和管理。

## 1.2 SSH服务器的作用和优势

SSH服务器的主要作用是通过加密协议，为用户提供安全的远程登录、文件传输和命令执行功能。其优势包括：

- 数据传输加密：通过SSH传输的数据都是加密的，可以有效保护数据的安全性。
- 远程管理：SSH服务器能够让管理员远程管理服务器，进行系统维护和故障排查。
- 身份验证：SSH支持多种身份验证方式，如密码验证和公钥认证，增强了访问的安全性。
- 协议灵活：支持多种操作系统和平台，可以轻松搭建跨平台的安全连接。

在接下来的章节中，我们将介绍如何准备、配置和加固SSH服务器，以实现更安全和高效的远程访问和管理。

# 2. 准备工作

在开始配置SSH服务器之前，我们需要进行一些准备工作。

### 2.1 确定操作系统版本

首先，我们需要确定我们正在使用的操作系统版本。SSH服务器软件可以在大多数常见的操作系统上安装和运行，包括Linux、Unix和Windows。不同的操作系统可能有不同的安装和配置方法，因此我们需要根据自己的操作系统版本选择正确的安装和配置方法。

### 2.2 安装OpenSSH服务器软件

在开始配置SSH服务器之前，我们需要确保已经安装了OpenSSH服务器软件。OpenSSH是一个开源的SSH实现，提供了安全的加密通信和远程登录功能。

对于大多数Linux和Unix操作系统, OpenSSH 软件包通常已经包含在默认的软件仓库中，可以使用包管理工具进行安装。例如，在Ubuntu上，可以使用apt命令进行安装:

sudo apt install openssh-server

而在Windows系统上，默认情况下并没有安装SSH服务器软件。但是，我们可以通过一些第三方工具如Cygwin、Git for Windows或者Windows Subsystem for Linux来安装SSH服务器软件。这些工具会提供一个类Unix环境，其中包括可以安装和运行OpenSSH服务器所需的软件包。

### 2.3 配置系统防火墙

在使用SSH服务器之前，我们需要配置操作系统的防火墙，以允许SSH流量通过。如果防火墙没有正确配置，可能会阻止SSH服务器的正常工作。

对于Linux和Unix操作系统，我们可以使用iptables工具或者firewalld服务来配置防火墙规则。根据具体的操作系统版本和偏好，选择合适的防火墙配置工具。以下是一个使用iptables工具来允许SSH流量通过的示例命令:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables-save | sudo tee /etc/sysconfig/iptables
sudo systemctl restart iptables

对于Windows操作系统，可以使用系统提供的防火墙配置界面来允许SSH流量通过。打开Windows Defender防火墙，创建一个新的入站规则，选择允许指定端口的TCP流量，并指定端口为22。

完成上述准备工作后，我们已经可以开始进行SSH服务器的配置了。

# 3. SSH服务器的基本配置

在安装和准备工作完成后，我们可以开始对SSH服务器进行基本配置。

#### 3.1 修改SSH服务器配置文件

SSH服务器的配置文件通常位于`/etc/ssh/sshd_config`。我们可以使用编辑器打开此文件进行修改。

sudo nano /etc/ssh/sshd_config

在配置文件中，可以通过修改各项参数来控制SSH服务器的行为。以下是一些常见的配置项及其说明：

- `Port`：指定SSH服务器的监听端口，默认为22。可以修改为其他安全的端口号，如2222。
- `PermitRootLogin`：指定是否允许root用户通过SSH登录服务器。建议禁用该选项，使用其他低权限用户登录服务器，并使用sudo提升权限。
- `PasswordAuthentication`：指定是否允许使用密码进行SSH登录。建议禁用该选项，使用SSH密钥对进行认证，提高安全性。
- `PubkeyAuthentication`：指定是否允许使用SSH密钥对进行认证。建议启用该选项，使用SSH密钥对进行认证。

修改完成后，保存并关闭配置文件，然后重启SSH服务器使配置生效。

sudo systemctl restart sshd

#### 3.2 配置SSH服务器的监听端口

默认情况下，SSH服务器监听的端口号为22。为了增加服务器的安全性，我们可以修改为其他端口号。

首先，打开SSH服务器的配置文件。

sudo nano /etc/ssh/sshd_config

找到并修改`Port`配置项，将其改为其他安全的端口号。例如，修改为2222。

Port 2222

保存并关闭配置文件，然后重启SSH服务器使配置生效。

sudo systemctl restart sshd

此时，SSH服务器将监听在修改后的端口上。

#### 3.3 启用SSH服务器登录

默认情况下，SSH服务器是已经自动启动的。如果SSH服务器没有启动，我们可以使用以下命令手动启动SSH服务。

sudo systemctl start sshd

如果希望SSH服务器开机自动启动，可以使用以下命令设置。

sudo systemctl enable sshd

现在，我们可以使用SSH客户端连接到服务器，并进行远程登录。

ssh user@server_ip

其中，`user`为具有登录权限的用户名，`server_ip`为服务器的IP地址。

# 4. 用户管理与权限控制

在SSH服务器中，用户管理和权限控制是非常重要的，可以有效地保护服务器的安全。接下来我们将讨论如何进行用户管理和权限控制。

#### 4.1 创建SSH用户

要创建一个新的SSH用户，可以使用以下命令：

sudo adduser newuser

这将提示您设置新用户的密码和其他详细信息。一旦用户创建成功，他们就可以使用SSH登录到服务器。

#### 4.2 分配用户权限

可以使用`usermod`命令来分配用户权限，比如将用户添加到`sudo`组以获取管理员权限：

sudo usermod -aG sudo newuser

这样用户就可以使用`sudo`命令来执行具有管理员权限的操作了。

#### 4.3 禁止root用户远程登录

为了提高安全性，通常应禁止root用户直接远程登录。可以编辑SSH配置文件`/etc/ssh/sshd_config`，将`PermitRootLogin`设置为`no`：

PermitRootLogin no

#### 4.4 配置SSH公钥认证登录

使用SSH公钥认证登录比密码登录更安全且方便。您可以将用户的公钥添加到`~/.ssh/authorized_keys`文件中，允许用户使用私钥进行身份验证而无需密码。

以上是SSH服务器用户管理和权限控制的基本内容，通过合理的用户管理和权限控制，可以有效保障SSH服务器的安全。

# 5. SSH服务器的高级配置

在使用SSH服务器时，我们可以通过一些高级配置来进一步增强服务器的安全性和灵活性。本章将介绍几种常用的高级配置方法。

### 5.1 限制SSH登录的IP地址

为了增加服务器的安全性，我们可以限制允许登录SSH的IP地址范围。这样可以防止未授权的设备对SSH服务器进行登录尝试。

首先打开SSH服务器的配置文件：

sudo vi /etc/ssh/sshd_config

在配置文件中找到并编辑以下行：

# 执行限制登录的IP地址
AllowUsers your_username@your_ip_address

替换 "your_username" 为你的用户名，"your_ip_address" 为你的IP地址或IP地址范围。例如：192.168.0.1 或 192.168.0.0/24。

保存并关闭文件。然后重新启动SSH服务器：

sudo systemctl restart sshd

### 5.2 配置登录超时时间

登录超时时间可以设置一个时间段，在该时间段内没有进行任何操作，SSH服务器将主动断开连接。这是一种防止未经授权的设备保持SSH会话的方式。

打开SSH服务器的配置文件：

sudo vi /etc/ssh/sshd_config

找到并编辑以下行：

# 设置登录超时时间为30分钟
ClientAliveInterval 1800
ClientAliveCountMax 0

这里的 "ClientAliveInterval" 表示每隔多少秒向客户端发送一次保持连接的请求， "ClientAliveCountMax" 表示在客户端未响应的情况下最多发送多少次请求。将这两个值调整为适合你的需求的时间。

保存并关闭文件。然后重新启动SSH服务器：

sudo systemctl restart sshd

### 5.3 启用登录日志记录

启用登录日志记录可以帮助我们追踪SSH服务器的登录活动，以及检查是否存在未经授权的登录尝试。

首先打开SSH服务器的配置文件：

sudo vi /etc/ssh/sshd_config

找到并编辑以下行：

# 启用登录日志记录
LogLevel INFO

将日志级别设置为 "INFO"，这将记录登录事件到系统日志文件。

保存并关闭文件。然后重新启动SSH服务器：

sudo systemctl restart sshd

### 5.4 限制并发登录连接数

为了避免安全风险，我们可以限制每个用户可同时建立的SSH会话数。

打开SSH服务器的配置文件：

sudo vi /etc/ssh/sshd_config

找到并编辑以下行：

# 限制每个用户最多同时允许2个SSH会话
MaxSessions 2

将 "MaxSessions" 的值设置为你希望的最大会话数。

保存并关闭文件。然后重新启动SSH服务器：

sudo systemctl restart sshd

在本章中，我们介绍了一些SSH服务器的高级配置方法，这些方法可以提升服务器的安全性和灵活性。你可以根据自己的需求和实际情况进行配置。

# 6. SSH服务器的安全性加固

SSH服务器是系统中非常重要且常被攻击的组件之一，因此需要进行安全性加固以减少潜在的风险。本章将介绍一些加固措施，以保障SSH服务器的安全性。

#### 6.1 禁用不安全的SSH协议版本

SSH协议有多个版本，其中一些可能存在安全漏洞，因此最好禁用这些不安全的协议版本。在SSH服务器配置文件中进行如下设置：

# 禁用SSH协议1版本
Protocol 2

**注释：** 禁用SSH协议1版本可以避免一些安全漏洞，建议使用更安全的SSH协议版本2。

**代码总结：** 通过在SSH服务器配置文件中进行Protocol配置，可以禁用不安全的SSH协议版本，提高服务器安全性。

**结果说明：** 配置后，服务器将禁用SSH协议1版本，提升安全性。

#### 6.2 配置SSH服务器支持登录锁定

为了防范暴力破解密码的攻击，可以设置SSH登录失败次数限制，并在达到一定次数后锁定登录。在SSH服务器配置文件中进行如下设置：

# 设置允许最大登录尝试次数为3次
MaxAuthTries 3
# 启用登录失败锁定功能，失败次数达到限制后锁定10分钟
LoginGraceTime 600

**注释：** 通过限制最大登录尝试次数，并设置登录失败锁定时间，可以有效防止暴力破解密码的攻击。

**代码总结：** 在SSH服务器配置文件中设置MaxAuthTries和LoginGraceTime参数，可以限制登录尝试次数并支持登录锁定功能。

**结果说明：** 配置后，当登录尝试次数达到限制后，将会锁定登录一定时间，提高安全性。

#### 6.3 定期更新SSH服务器软件

及时更新SSH服务器软件可以获取最新的安全补丁和功能改进，以保持服务器的安全和稳定。定期执行系统更新命令即可更新SSH服务器软件：

# 更新系统软件及SSH服务器软件
sudo apt update
sudo apt upgrade

**注释：** 定期更新系统软件包含SSH服务器软件，可以及时应用最新的安全补丁。

**代码总结：** 使用系统更新命令可以定期更新SSH服务器软件及系统软件，维持服务器安全和稳定。

**结果说明：** 更新后，服务器上的SSH软件将包含最新的安全补丁，以弥补一些已知的安全漏洞。

#### 6.4 其他安全加固措施

除了以上介绍的措施之外，还可以考虑其他安全加固措施，如禁止空密码登录、使用密钥对进行认证、限制SSH登录到特定用户等。

**注释：** 这些措施可以根据实际需求和安全策略进行选择和配置，以增强SSH服务器的安全性。

**代码总结：** 根据实际需求和安全策略，可以实施其他安全加固措施，进一步提升SSH服务器的安全性。

**结果说明：** 综合应用多种安全措施可以加固SSH服务器，保护系统免受恶意攻击。