在信息安全日益嚴峻的今天，等級保護2.0（簡稱 等保2.0）已成為各類政企單位IT建設(shè)中的“安全紅線”。而在服務(wù)器安全防護中，SSH（Secure Shell）服務(wù)作為遠程登錄的主要入口，一旦疏忽配置，極易成為攻擊者的突破口。

今天這篇文章，就為大家總結(jié)等保2.0中關(guān)于SSH服務(wù)的七項關(guān)鍵加固措施，真正做到“缺一不可”。

一、為什么SSH加固如此重要？

• SSH 是系統(tǒng)的“運維入口”，一旦被攻破，系統(tǒng)形同裸奔；
• 大量暴力破解腳本每天在互聯(lián)網(wǎng)上橫行；
• 默認配置暴露太多，易被掃描識別，留下攻擊面。

為了滿足等保2.0在身份鑒別、訪問控制、系統(tǒng)安全等方面的要求，加強SSH配置已是必選項，而非可選項！

二、七項SSH加固措施，全面護航系統(tǒng)安全

1. 修改默認端口：避開暴力破解首選目標

默認的 22 端口是所有掃描器的首要目標。修改SSH端口可有效降低被暴力破解的概率。

# 編輯配置文件
sudovi /etc/ssh/sshd_config

# 修改端口號（例如改為 22222）
Port 22222

# 重啟服務(wù)
sudo systemctl restart sshd

建議：選擇1024以上的高位端口（如22222、52113等），并同步更新防火墻策略。

2. 禁止root用戶遠程登錄：最小權(quán)限原則落地

允許 root 用戶直接遠程登錄是重大風險，應(yīng)強制關(guān)閉：

PermitRootLogin no

建議：使用普通用戶遠程登錄，通過 sudo 獲取管理員權(quán)限，安全性更高，操作留痕也更完整。

3. 禁用密碼登錄，啟用密鑰認證：拒絕弱口令風險

SSH密鑰登錄相較于密碼登錄更安全且更難被破解：

PasswordAuthentication no
PubkeyAuthentication yes

建議：使用 ssh-keygen 生成密鑰對，并使用 ssh-copy-id 分發(fā)公鑰。推薦使用4096位RSA密鑰。

4. 限制登錄失敗次數(shù)與寬限時間：遏制暴力破解

設(shè)置登錄失敗次數(shù)和登錄等待時間，保護服務(wù)器不被暴力攻擊：

MaxAuthTries 3
LoginGraceTime 30

建議：結(jié)合 fail2ban 等工具，封鎖異常登錄IP，實現(xiàn)動態(tài)防御。

5. 指定允許登錄的用戶/IP：落地白名單機制

通過配置僅允許指定用戶遠程登錄：

AllowUsers user1 user2

或者限制IP來源：

iptables -A INPUT -p tcp -s192.168.1.100 --dport22222-j ACCEPT

建議：配合堡壘機使用，僅允許可信IP訪問，避免將SSH暴露于公網(wǎng)。

6. 禁用SSH-1協(xié)議：徹底關(guān)閉已知漏洞

SSH-1協(xié)議存在嚴重安全漏洞，應(yīng)強制禁用，僅使用SSH-2：

Protocol 2

說明：SSH-1容易被中間人攻擊和密碼嗅探，已不再被推薦使用。

7. 關(guān)閉DNS反向解析：提升效率、防止信息泄露

SSH默認會對客戶端IP進行反向解析，既影響連接速度，也可能泄露內(nèi)部信息：

UseDNS no

建議：將此配置加入 /etc/ssh/sshd_config，讓登錄更快更安全。

三、加固腳本

為了讓大家后續(xù)的配置工作更加輕松，我編寫了一個增強版的腳本。目前這個腳本計劃實現(xiàn)的功能點如下所示。如果你有任何好的建議或想法，歡迎隨時留言分享哦！

======================================
      企業(yè)級系統(tǒng)等保加固配置工具 v1.0
====================================
1. SSH服務(wù)安全加固
2. 密碼策略強化配置
3. 防火墻策略配置
4. 文件權(quán)限審計與修復(fù)
5. 日志審計配置
6. 內(nèi)核參數(shù)安全優(yōu)化
7. 執(zhí)行全部加固項
0. 退出程序
======================================
請選擇要執(zhí)行的加固項（多選用逗號分隔, 例:1,3）或 0 退出: 1
請輸入新的SSH端口 (1024-65535, 不能使用22): 22

四、寫在最后

等保2.0不只是“審查過關(guān)”，更是企業(yè)信息系統(tǒng)應(yīng)有的自我防護能力。SSH作為系統(tǒng)的遠程入口，一定要把好安全“第一道門”！

• 七項SSH加固措施，落實越徹底，系統(tǒng)越穩(wěn)固。
• 安全無小事，從一行配置做起！