在信息安全日益嚴峻的今天，等級保護2.0（簡稱 等保2.0）已成為各類政企單位IT建設中的“安全紅線”。而在服務器安全防護中，SSH（Secure Shell）服務作為遠程登錄的主要入口，一旦疏忽配置，極易成為攻擊者的突破口。

今天這篇文章，就為大家總結等保2.0中關于SSH服務的七項關鍵加固措施，真正做到“缺一不可”。

一、為什么SSH加固如此重要？

• SSH 是系統的“運維入口”，一旦被攻破，系統形同裸奔；
• 大量暴力破解腳本每天在互聯網上橫行；
• 默認配置暴露太多，易被掃描識別，留下攻擊面。

為了滿足等保2.0在身份鑒別、訪問控制、系統安全等方面的要求，加強SSH配置已是必選項，而非可選項！

二、七項SSH加固措施，全面護航系統安全

1. 修改默認端口：避開暴力破解首選目標

默認的 22 端口是所有掃描器的首要目標。修改SSH端口可有效降低被暴力破解的概率。

# 編輯配置文件
sudovi /etc/ssh/sshd_config

# 修改端口號（例如改為 22222）
Port 22222

# 重啟服務
sudo systemctl restart sshd

建議：選擇1024以上的高位端口（如22222、52113等），并同步更新防火墻策略。

2. 禁止root用戶遠程登錄：最小權限原則落地

允許 root 用戶直接遠程登錄是重大風險，應強制關閉：

PermitRootLogin no

建議：使用普通用戶遠程登錄，通過 sudo 獲取管理員權限，安全性更高，操作留痕也更完整。

3. 禁用密碼登錄，啟用密鑰認證：拒絕弱口令風險

SSH密鑰登錄相較于密碼登錄更安全且更難被破解：

PasswordAuthentication no
PubkeyAuthentication yes

建議：使用 ssh-keygen 生成密鑰對，并使用 ssh-copy-id 分發公鑰。推薦使用4096位RSA密鑰。

4. 限制登錄失敗次數與寬限時間：遏制暴力破解

設置登錄失敗次數和登錄等待時間，保護服務器不被暴力攻擊：

MaxAuthTries 3
LoginGraceTime 30

建議：結合 fail2ban 等工具，封鎖異常登錄IP，實現動態防御。

5. 指定允許登錄的用戶/IP：落地白名單機制

通過配置僅允許指定用戶遠程登錄：

AllowUsers user1 user2

或者限制IP來源：

iptables -A INPUT -p tcp -s192.168.1.100 --dport22222-j ACCEPT

建議：配合堡壘機使用，僅允許可信IP訪問，避免將SSH暴露于公網。

6. 禁用SSH-1協議：徹底關閉已知漏洞

SSH-1協議存在嚴重安全漏洞，應強制禁用，僅使用SSH-2：

Protocol 2

說明：SSH-1容易被中間人攻擊和密碼嗅探，已不再被推薦使用。

7. 關閉DNS反向解析：提升效率、防止信息泄露

SSH默認會對客戶端IP進行反向解析，既影響連接速度，也可能泄露內部信息：

UseDNS no

建議：將此配置加入 /etc/ssh/sshd_config，讓登錄更快更安全。

三、加固腳本

為了讓大家后續的配置工作更加輕松，我編寫了一個增強版的腳本。目前這個腳本計劃實現的功能點如下所示。如果你有任何好的建議或想法，歡迎隨時留言分享哦！

======================================
      企業級系統等保加固配置工具 v1.0
====================================
1. SSH服務安全加固
2. 密碼策略強化配置
3. 防火墻策略配置
4. 文件權限審計與修復
5. 日志審計配置
6. 內核參數安全優化
7. 執行全部加固項
0. 退出程序
======================================
請選擇要執行的加固項（多選用逗號分隔, 例:1,3）或 0 退出: 1
請輸入新的SSH端口 (1024-65535, 不能使用22): 22

四、寫在最后

等保2.0不只是“審查過關”，更是企業信息系統應有的自我防護能力。SSH作為系統的遠程入口，一定要把好安全“第一道門”！

• 七項SSH加固措施，落實越徹底，系統越穩固。
• 安全無小事，從一行配置做起！