美国VPS SSH连接安全：密钥认证与端口限制配置教程

使用美国VPS时，SSH连接的安全性直接关系到数据隐私和服务器稳定。传统密码认证易被暴力破解，默认端口暴露更会增加攻击风险。网络攻击手段不断升级，旧的防护方法可能早已失效，美国VPS用户需要更贴合当前环境的安全配置指南。本文将通过密钥认证与端口限制两项核心操作，带你构建更稳固的SSH连接防护体系。

密钥认证：替代密码的安全基石

密钥认证（基于公钥-私钥对的身份验证方式）是比密码更可靠的防护手段。攻击者即使截获公钥，没有私钥也无法完成连接，从根本上规避了密码泄露风险。

第一步：生成高强度密钥对

在本地电脑打开终端（Windows用户可使用PowerShell或Git Bash），输入命令生成RSA 4096位密钥对：

ssh-keygen -t rsa -b 4096

按提示选择密钥保存路径（默认在~/.ssh目录），可设置私钥保护密码（非必填但建议设置）。生成完成后，会得到私钥文件（如id_rsa）和公钥文件（id_rsa.pub）。私钥需妥善保管，丢失后无法恢复；公钥可安全分发。

第二步：上传公钥至美国VPS

使用ssh-copy-id命令自动将公钥写入VPS的授权文件：

ssh-copy-id username@your_vps_ip

输入当前VPS登录密码完成验证，公钥会被复制到VPS的~/.ssh/authorized_keys文件中。若提示文件或目录不存在，可手动创建：

mkdir -p ~/.ssh && chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys

第三步：强制启用密钥认证

登录美国VPS后，编辑SSH服务配置文件：

sudo nano /etc/ssh/sshd_config

找到以下配置项并修改：
PubkeyAuthentication yes （启用公钥认证）
PasswordAuthentication no （禁用密码认证）
保存退出后重启SSH服务生效：

sudo systemctl restart sshd

此时尝试用密码登录会被拒绝，必须通过私钥连接，大幅提升安全性。

端口限制：缩小攻击面的关键操作

默认SSH端口22是攻击者的重点目标，修改端口并限制访问源能有效降低被扫描概率。

调整SSH服务监听端口

编辑sshd_config文件，找到"Port 22"行，修改为自定义端口（如2222）：

Port 2222

保存后重启SSH服务使端口生效：

sudo systemctl restart sshd

注意：修改后需用新端口连接（如ssh -p 2222 username@your_vps_ip），建议先保留旧端口测试，确认新端口可用后再关闭。

防火墙限制特定IP访问

以常用的ufw防火墙为例，仅允许指定IP访问新端口：

sudo ufw allow from 192.168.1.100 to any port 2222

（将192.168.1.100替换为你的固定公网IP）
启用防火墙规则：

sudo ufw enable

通过此设置，只有指定IP的设备能连接美国VPS的SSH服务，未授权IP的连接请求会被直接拦截。

网络安全没有一劳永逸的方案，建议定期检查authorized_keys文件，删除不再使用的公钥；每半年更换一次密钥对；若公网IP变动，及时更新防火墙规则。掌握密钥认证与端口限制这两项基础操作，能为美国VPS的SSH连接筑起双重防护墙，让远程管理更安心。