实用干货！敏感操作必看｜SSH登录与代理安全加固指南—网络安全攻略

🌙深夜，运维小哥的手机突然疯狂震动——公司服务器被暴力破解了！看着监控日志里密密麻麻的登录尝试，他后怕地拍了拍胸口："还好提前做了SSH安全加固……" 各位开发者朋友，如果你不想体验这种惊魂时刻，这篇《SSH登录与代理安全加固指南》请务必收好！

🔒 第一部分：SSH登录防护——给服务器装上"防盗门"

钥匙比密码更安全（密钥认证）

# 生成4096位RSA密钥对（比默认2048位更安全）
ssh-keygen -t rsa -b 4096 -C "你的邮箱@域名.com"

✅ 最佳实践：

• 给每个客户端生成独立密钥,就像"家门钥匙"和"车钥匙"分开管理
• 私钥设置强密码（用ssh-agent管理更方便）
• 禁用密码登录：PasswordAuthentication no

端口改头换面术

# 修改/etc/ssh/sshd_config
Port 65534  # 选个1024-65535之间的随机端口

⚠️ 注意：改端口后记得在防火墙放行，推荐配合Cloudflare隧道使用

防御暴力破解三件套

# 在sshd_config里设置：
MaxAuthTries 3        # 最多3次密码尝试
LoginGraceTime 30s    # 30秒内没登录成功就断开
DenyUsers root        # 禁止root直接登录

🚀 第二部分：代理安全——打造"隐形传输通道"

场景1：正向代理（突破网络限制）

# 本地启动SOCKS5代理（配合sshuttle更香）
ssh -D 1080 -fCNq user@中转服务器IP

💡 小技巧：用autossh保持代理长连，妈妈再也不用担心我掉线了

场景2：反向代理（内网穿透）

# 在内网服务器执行（需提前配置公钥）
ssh -R 8080:localhost:80 public_server_ip

⚠️ 安全警告：反向代理要设置访问控制，避免成为黑客跳板

代理工具红黑榜

🛡️ 第三部分：进阶防护技巧

双因素认证（2FA）

# 安装Google Authenticator
sudo apt install libpam-google-authenticator
# 修改/etc/pam.d/sshd，添加：
auth required pam_google_authenticator.so

日志审计大法

# 开启详细日志记录
LogLevel VERBOSE
# 实时监控登录行为
tail -f /var/log/auth.log | grep 'sshd'

定期"体检"清单

• ✅ 检查~/.ssh/authorized_keys文件权限（必须600）
• ✅ 清理无用用户账号（特别是前员工账户）
• ✅ 更新SSH版本（OpenSSH 9.6+支持更多加密算法）

📌 终极安全口诀

1. 私钥如内裤,绝不外借🔐
2. 端口要随机,日志常看看👀
3. 代理用隧道,加密不可少🔒
4. 遇到警报声,千万别慌神🚨

打开你的服务器,跟着这篇指南一步步操作吧！在网络安全这场"猫鼠游戏"中，永远不要做那只裸奔的"小老鼠"🐭，有什么疑问？评论区等你来战！💥