如何在Ubuntu 22.04 香港服务器部署 OpenSSH 强化安全、非标端口与 Fail2ban 防爆破教程

在跨境电商、游戏服务器或其他高并发场景中,Ubuntu 22.04 被广泛部署在香港服务器上。作为一款流行的Linux发行版,Ubuntu 22.04 提供了高度的灵活性和可定制性。在保证系统性能和可用性的同时,加强服务器的安全性是每位系统管理员必须关注的重点。A5数据将详细介绍如何在 Ubuntu 22.04 上通过配置 OpenSSH 强化安全性、设置非标端口并结合 Fail2ban 防止暴力破解攻击,从而提高香港服务器的整体安全防护能力。

一、前提条件与系统准备

1.1 香港服务器www.a5idc.com硬件配置

  • CPU:AMD EPYC 7313P 16核32线程
  • 内存:32GB DDR4-3200
  • 硬盘:960GB NVMe SSD
  • 带宽:100M BGP带宽 + 25M CN2直连
  • 操作系统:Ubuntu 22.04 LTS(标准x64版本)

1.2 软件依赖

  • OpenSSH:用来提供加密的远程登录服务。
  • Fail2ban:用于监控日志并对暴力破解进行限制。
  • UFW(Uncomplicated Firewall):用于配置防火墙,控制网络访问。

二、步骤概述

  1. 配置 OpenSSH 并强化其安全性。
  2. 设置非标端口,防止暴力破解攻击。
  3. 安装和配置 Fail2ban 进行入侵检测与自动封禁。
  4. 配置防火墙(UFW)以增强安全性。

三、详细配置过程

3.1 安装 OpenSSH 服务

如果 Ubuntu 22.04 中尚未安装 OpenSSH,可以通过以下命令安装:

sudo apt update
sudo apt install openssh-server

安装完毕后,启动并检查 OpenSSH 服务的状态:

sudo systemctl start ssh
sudo systemctl enable ssh
sudo systemctl status ssh

3.2 强化 OpenSSH 配置

3.2.1 禁用 Root 登录

/etc/ssh/sshd_config 文件中,将 PermitRootLogin 配置为 no,禁用 root 用户通过 SSH 直接登录:

sudo nano /etc/ssh/sshd_config

找到并修改或添加如下行:

PermitRootLogin no
3.2.2 配置密钥认证

为了增强 SSH 的安全性,推荐使用密钥认证方式而非密码认证。在 sshd_config 中启用密钥认证:

PasswordAuthentication no
PubkeyAuthentication yes

确保生成 SSH 密钥对并将公钥添加到远程服务器的 ~/.ssh/authorized_keys 文件中。生成密钥对的命令如下:

ssh-keygen -t rsa -b 4096
3.2.3 更改默认 SSH 端口

修改 SSH 默认端口(22)为非标端口,以增加攻击难度。修改 /etc/ssh/sshd_config 文件中的 Port 配置:

Port 2222  # 可根据实际情况选择非标准端口

3.3 配置 Fail2ban 防止暴力破解

3.3.1 安装 Fail2ban

Fail2ban 是一个监控日志文件并阻止频繁失败登录的工具。通过以下命令安装:

sudo apt install fail2ban
3.3.2 配置 Fail2ban

Fail2ban 的配置文件位于 /etc/fail2ban 目录下。复制默认的配置文件并进行修改:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑 jail.local 文件,确保启用 SSH 防护并设置合适的阈值:

sudo nano /etc/fail2ban/jail.local

找到 [sshd] 部分并启用:

[sshd]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3   # 设置最大失败次数
bantime  = 600 # 被封禁时间(秒)
3.3.3 启动 Fail2ban

配置完成后,启动并启用 Fail2ban 服务:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

检查 Fail2ban 状态,确保其正在运行:

sudo systemctl status fail2ban

3.4 配置 UFW 防火墙

3.4.1 启用 UFW 防火墙

首先,启用并检查 UFW 状态:

sudo ufw enable
sudo ufw status verbose
3.4.2 配置防火墙规则

允许当前 SSH 端口(默认为 2222)通过:

sudo ufw allow 2222/tcp

禁止其他所有不必要的端口(如默认的 22 端口):

sudo ufw deny 22/tcp

如果需要访问 HTTP/HTTPS,可以同时允许这些端口:

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

重新加载 UFW 配置:

sudo ufw reload

四、验证配置

4.1 检查 SSH 端口是否更改成功

使用以下命令检查是否可以通过新端口进行 SSH 登录:

sudo ss -tuln | grep 2222

4.2 检查 Fail2ban 是否正常工作

查看 Fail2ban 日志,验证是否成功封禁了暴力破解的 IP 地址:

sudo fail2ban-client status sshd

4.3 检查 UFW 配置

确保防火墙规则已生效:

sudo ufw status

五、性能优化与监控

为了确保服务器在进行安全配置后仍然保持高效运行,您可以使用以下工具进行性能监控:

  • htop:用于监控实时的 CPU 和内存使用情况。

    sudo apt install htop
htop

  • Netdata:用于实时监控服务器状态,包括带宽使用情况、磁盘 I/O 等。

    bash <(curl -Ss https://my-netdata.io/kickstart.sh)

六、总结

A5数据通过以上配置,您已成功增强了在香港服务器上部署的 Ubuntu 22.04 系统的 OpenSSH 安全性,设置了非标端口并结合 Fail2ban 进行暴力破解防护。同时,通过 UFW 防火墙有效限制了外部访问,确保服务器仅允许授权的 IP 连接。

这种多层次的安全方案不仅提升了 SSH 服务的安全性,还大大降低了被恶意攻击的风险,能够为您的业务提供更可靠的安全保障。

posted @ 2026-01-15 10:55  A5IDC  阅读(2)  评论(0)    收藏  举报