在Linux服务器运维管理中,SSH(Secure Shell)协议是保障远程连接安全性的基石,服务器开启ssh服务器是实现远程高效管理的首要步骤,也是保障系统安全的第一道防线,核心结论在于:正确开启SSH服务不仅仅是执行一条安装命令,更是一个包含安装、配置、防火墙设置、安全加固及服务自启动的系统性工程,只有遵循标准化的操作流程,才能在确保远程管理便利性的同时,最大限度降低安全风险。
确认环境与安装OpenSSH服务
绝大多数现代Linux发行版默认已预装OpenSSH服务,但在最小化安装或特定定制系统中,仍需手动部署。
-
检查安装状态。
在终端输入命令rpm -qa | grep openssh(适用于CentOS/RHEL)或dpkg -l | grep openssh(适用于Debian/Ubuntu),若未显示相关软件包信息,则表明系统尚未安装。 -
执行安装操作。
针对不同发行版使用对应的包管理器。
对于CentOS/RHEL系统,执行:yum install -y openssh openssh-server
对于Debian/Ubuntu系统,执行:apt-get install -y openssh-server
安装过程会自动处理依赖关系,确保核心组件就位。
核心配置文件的深度优化
安装完成后,直接启动服务虽然可行,但缺乏安全性。修改配置文件 /etc/ssh/sshd_config 是整个流程中最关键的环节,直接决定了服务的安全等级和运行方式。
-
禁止Root用户直接登录。
这是生产环境中的铁律,将配置文件中的PermitRootLogin参数修改为no,攻击者通常会尝试使用Root账户进行暴力破解,禁用此选项可大幅提升系统安全系数,建议先创建具有sudo权限的普通用户,再通过该用户登录后切换至Root。 -
修改默认端口。
SSH默认端口为22,这是全网扫描的重点对象,将Port参数修改为高位端口(如2222或50000以上),可有效避开绝大多数自动化扫描攻击,实现“隐蔽式”安全。 -
限制登录尝试与认证方式。
启用密钥认证并禁用密码认证是最佳实践,设置PasswordAuthentication no,强制使用密钥对登录,配置MaxAuthTries参数限制最大尝试次数,防止暴力破解。
防火墙策略配置与端口放行
修改了SSH端口后,必须同步调整防火墙策略,否则将导致连接中断。
-
Firewalld防火墙配置(CentOS 7+)。
若使用默认端口22,执行:firewall-cmd --permanent --add-service=ssh
若修改了自定义端口(如2222),执行:firewall-cmd --permanent --add-port=2222/tcp
最后重载防火墙使其生效:firewall-cmd --reload -
UFW防火墙配置(Ubuntu/Debian)。
UFW操作更为简洁,执行:ufw allow 2222/tcp(请替换为实际端口)。
确保在启用UFW前已放行SSH端口,否则会锁死服务器。
服务启动与开机自启设置
配置完毕后,需启动服务并设为开机自启,确保服务器重启后管理通道畅通。
-
启动SSH服务。
使用Systemd服务管理器启动:systemctl start sshd
此时服务已在后台运行。 -
设置开机自启。
执行命令:systemctl enable sshd
此操作会在系统启动目标中创建软链接,保证服务随系统启动。 -
验证运行状态。
输入systemctl status sshd查看状态,确保显示为“active (running)”,同时使用netstat -tunlp | grep sshd或ss -tunlp | grep sshd确认服务正在监听指定端口。
连接测试与故障排查
完成上述步骤后,切勿关闭当前会话,应新建一个终端窗口进行连接测试。
-
客户端连接。
使用SSH客户端工具,命令格式为:ssh -p 端口号 用户名@服务器IPssh -p 2222 admin@192.168.1.100。 -
常见故障处理。
若连接超时,优先检查云服务商的安全组设置,确保入站规则已放行对应端口,若提示“Permission denied”,检查用户权限及密钥配置。保持至少一个已连接的会话窗口是运维操作的安全底线,防止配置失误导致无法登录。
相关问答
服务器开启SSH服务后,为什么连接提示“Connection refused”?
答:出现此提示通常意味着SSH服务未启动、端口被修改或防火墙拦截,首先检查服务状态 systemctl status sshd,确认服务正在运行,使用 netstat 命令确认监听端口是否与客户端连接端口一致,检查本地防火墙及云服务商安全组是否放行了对应端口。
开启SSH服务时,如何平衡便利性与安全性?
答:建议采用“密钥登录+禁用密码+非标准端口”的组合策略,密钥认证强度远高于密码,配合禁用密码登录可杜绝暴力破解,修改非标准端口可避开大量自动化扫描,建议安装Fail2ban等工具,自动封禁恶意尝试IP,在保障便利性的同时构建多层防御体系。
如果您在服务器开启ssh服务器的过程中遇到其他疑难杂症,欢迎在评论区留言交流。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/137309.html
