Ubuntu云服务器安全防护：SSH加固与入侵检测实战

在Ubuntu云服务器的日常使用中，安全防护是不可忽视的环节。其中，SSH服务的加固与入侵检测的配置，是抵御暴力破解、恶意登录等风险的核心手段。本文将结合实际操作，详解如何通过端口调整、密钥认证及Fail2Ban工具，为你的云服务器构建安全防线。

SSH加固：从默认配置到安全基线

很多用户初次使用Ubuntu云服务器时，常因忽略SSH默认配置埋下隐患。默认状态下，SSH开放22号端口且允许密码登录——这两个设置就像为攻击者留了一扇“明窗”：22端口是扫描工具的重点目标，密码登录则容易被暴力破解。曾有开发者因未修改默认端口，一周内收到3000次登录尝试，虽未成功但已暴露风险。

三步提升SSH安全性

1. 修改默认端口
攻击者扫描时通常优先检查22端口，将其调整为不常用端口（如12345）能大幅降低被盯上的概率。操作步骤：

# 编辑SSH配置文件
sudo nano /etc/ssh/sshd_config
# 找到"Port 22"行，修改为新端口（示例：Port 12345）
# 保存后重启服务
sudo systemctl restart sshd

注意：修改后需记录新端口，远程连接时需指定（如`ssh -p 12345 user@服务器IP`）。

2. 禁用密码登录，启用密钥认证
密码再复杂也可能被撞库破解，密钥对认证则通过公私钥加密，安全性更高。具体操作：
- 本地生成密钥对（若未生成）：`ssh-keygen -t rsa -b 4096`（按提示保存密钥）；
- 将公钥上传至服务器：`ssh-copy-id -p 新端口 user@服务器IP`（会自动写入`~/.ssh/authorized_keys`）；
- 编辑`/etc/ssh/sshd_config`，设置`PasswordAuthentication no`（禁用密码登录）、`PubkeyAuthentication yes`（启用密钥认证）；
- 重启SSH服务生效。

3. 限制登录用户
若仅需特定用户管理服务器，可在`sshd_config`中添加`AllowUsers 用户名`（如`AllowUsers admin dev`），防止其他用户尝试登录，进一步缩小攻击面。

入侵检测：用Fail2Ban实时拦截攻击

即便完成SSH加固，仍需实时监控异常登录行为——攻击者可能通过高频次尝试（如短时间内多次输错密码）试探漏洞。这时就需要入侵检测工具Fail2Ban，它能自动封禁异常IP，将攻击扼杀在萌芽中。

Fail2Ban配置全流程

1. 安装工具：在Ubuntu云服务器执行`sudo apt-get install fail2ban`完成安装。
2. 自定义配置：复制默认配置文件避免覆盖更新：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

在`[sshd]`部分启用监控：`enabled = true`，并根据需求调整参数：
- `maxretry = 3`（允许3次失败登录）；
- `bantime = 3600`（封禁1小时）；
- `findtime = 600`（600秒内触发失败次数）。

3. 启动并设置自启：

sudo systemctl start fail2ban  # 启动服务
sudo systemctl enable fail2ban  # 开机自启

配置后，可通过`sudo fail2ban-client status sshd`查看当前封禁的IP列表。

防护方法对比与注意事项

不同防护手段各有优劣，需结合使用才能最大化效果：

• SSH端口更改：简单高效降低扫描概率，但需注意更新所有连接工具的端口配置；


• 密钥对认证：几乎无法被暴力破解，但需妥善保管私钥（建议备份至安全介质）；


• Fail2Ban：实时拦截异常IP，可通过调整`maxretry`和`bantime`平衡安全性与易用性（如内部测试环境可适当放宽参数）。

通过SSH端口调整、密钥认证替代密码登录，配合Fail2Ban的实时监控，能显著降低Ubuntu云服务器被攻击的风险。日常运维中，建议每月检查一次安全配置（如确认`authorized_keys`无多余公钥、Fail2Ban日志无异常封禁），并根据实际访问情况调整防护策略，确保安全措施持续有效。