SSH是一种通过加密技术实现远程登录和数据传输的网络协议。它让用户能够安全地管理远程服务器，但在默认配置下，它也容易成为黑客的攻击目标。SSH暴力破解的原理很简单：攻击者利用自动化脚本，针对SSH服务的默认端口（通常是22号端口），反复尝试不同的用户名和密码组合，直到成功登录或耗尽所有可能性。

这种攻击的可怕之处在于其高效性。现代暴力破解工具可以在短时间内尝试数千甚至数百万次组合，尤其当目标系统使用弱密码或未加保护时，成功率会大幅提升。一旦黑客闯入，他们可能窃取数据、植入恶意软件，甚至将您的服务器变成僵尸网络的一部分。

Ubuntu系统默认安装了SSH服务（通常是OpenSSH），这为用户提供了便利，却也让攻击者有了可乘之机。因此，主动采取防护措施，不仅是必要的，更是迫在眉睫的。

基础防护

密码是系统安全的第一道防线。一个复杂且难以猜测的密码可以让暴力破解的成本成倍增加，因为攻击者需要尝试更多的组合才能成功。

• 密码要求：至少12位，包含大小写字母、数字和特殊字符（如!@#$%^&*）。
• 避免常见错误：不要使用个人信息（如生日、名字）或简单模式（如1234、qwerty）。
• 定期更换：每3-6个月更新一次密码。

实施步骤

1. 检查当前用户密码：

使用passwd命令为用户设置新密码。例如，为用户admin设置密码：

sudo passwd admin 

2. 输入新密码并确认。系统会要求密码符合一定复杂性要求。

小贴士

• 使用密码管理器（如LastPass或KeePass）生成和存储复杂密码，既安全又省心。
• 对所有账户（尤其是root和管理员账户）执行此操作。

限制登录尝试

暴力破解依赖于无限次的尝试。如果我们限制每次连接的登录尝试次数，攻击者将很难在短时间内猜中密码。

实施步骤

1. 编辑SSH配置文件：

sudo vim /etc/ssh/sshd_config 

2. 找到或添加以下行：

MaxAuthTries 3 

这表示每个SSH连接最多允许3次登录尝试。

3. 保存文件并重启SSH服务：

sudo systemctl restart sshd 

注意事项

• 如果设置过低（如1次），正常用户可能因输入错误被锁出系统。建议根据使用场景调整。
• 检查服务是否正常重启：

sudo systemctl status sshd 

公钥认证

公钥认证利用非对称加密技术，客户端持有私钥，服务器持有公钥，登录时通过密钥对验证身份。这种方式无需在网络上传输密码，大幅提升安全性。

实施步骤

1. 在客户端生成密钥对：

ssh-keygen -t rsa -b 4096 

按回车接受默认路径，设置一个强密码保护私钥（可选）。

2. 将公钥上传到服务器：

ssh-copy-id admin@your_server_ip 

输入服务器密码完成上传。

3. 禁用密码认证：

• 编辑/etc/ssh/sshd_config：

PasswordAuthentication no 

• 重启SSH服务：

sudo systemctl restart sshd 

好处

• 黑客无法通过猜测密码入侵。
• 登录更快捷，只需私钥即可。

小贴士

• 妥善保管私钥文件（通常是~/.ssh/id_rsa），避免泄露。

更改默认端口

SSH默认使用22端口，黑客的扫描工具通常以此为目标。更改端口虽然不能彻底阻止攻击，但能显著降低被发现的概率。

实施步骤

1. 编辑SSH配置文件：

sudo vim /etc/ssh/sshd_config 

2. 修改端口，例如：

Port 2222 

3. 保存并重启SSH服务：

sudo systemctl restart sshd 

4. 更新防火墙规则（以ufw为例）：

sudo ufw allow 2222/tcp sudo ufw deny 22/tcp 

使用新端口登录

ssh -p 2222 admin@your_server_ip 

注意事项

选择一个不常用的端口，但避免与常见服务冲突（如80、443）。

防火墙加持

防火墙可以限制哪些IP能够访问SSH端口，未经授权的访问将被直接拒绝。

实施步骤（以ufw为例）

1. 安装ufw：

sudo apt install ufw 

2. 允许特定IP访问：

sudo ufw allow from 192.168.1.100 to any port 2222 

3. 拒绝其他访问：

sudo ufw deny 2222 

4. 启用防火墙：

sudo ufw enable 

小贴士

• 如果您的IP是动态的，可以允许一个IP段（如192.168.1.0/24）。
• 检查规则：

sudo ufw status 

Fail2ban

Fail2ban监控SSH登录日志，当检测到多次失败尝试时，自动封禁对应的IP地址。

实施步骤

1. 安装Fail2ban：

sudo apt install fail2ban 

2. 配置Fail2ban：

• 复制默认配置文件：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 

• 编辑/etc/fail2ban/jail.local，调整SSH部分：

[sshd] enabled = true port = 2222  # 如果更改了端口，需更新 maxretry = 3 bantime = 3600  # 封禁1小时 

3. 重启服务：

sudo systemctl restart fail2ban 

优势

• 自动化处理，无需手动干预。
• 可查看封禁记录：

sudo fail2ban-client status sshd 

禁用root登录

root账户是黑客的首要目标，禁用其SSH登录可以大幅降低风险。

实施步骤

1. 编辑SSH配置文件：

sudo vim /etc/ssh/sshd_config 

2. 设置：

PermitRootLogin no 

3. 重启SSH服务：

sudo systemctl restart sshd 

建议

• 创建普通用户，通过sudo提升权限：

adduser newuser usermod -aG sudo newuser 

双因素认证：多一重保障

双因素认证（2FA）要求用户在输入密码后提供一次性验证码，即使密码泄露，攻击者仍无法登录。

实施步骤（以Google Authenticator为例）

1. 安装软件：

sudo apt install libpam-google-authenticator 

2. 配置PAM：

• 编辑/etc/pam.d/sshd，添加：

auth required pam_google_authenticator.so 

3. 配置SSH：

• 编辑/etc/ssh/sshd_config：

ChallengeResponseAuthentication yes 

• 重启服务：

sudo systemctl restart sshd 

4. 生成用户密钥：

google-authenticator 

扫描二维码到手机应用（如Google Authenticator）。

优势

• 安全性翻倍，适合高敏感性系统。

定期更新系统

软件漏洞是黑客的突破口，定期更新可以修补这些漏洞。

实施步骤

1. 更新软件包列表：

sudo apt update 

2. 升级系统：

sudo apt full-upgrade 

建议

• 启用自动更新：

sudo apt install unattended-upgrades sudo dpkg-reconfigure --priority=low unattended-upgrades