服务器防黑加固指南:SSH端口隐藏、Fail2ban与密钥登录

原创 于 2025-09-06 16:17:54 发布 · 882 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #ssh #运维

服务器防黑加固指南:SSH端口隐藏、Fail2ban与密钥登录

前言:安全是第一生产力

你的服务器在互联网上裸露的每一秒,都可能有无数的自动化脚本在尝试暴力破解。它们不断地扫描公网IP,尝试用默认密码或常见组合登录SSH。一旦成功,你的服务器就会沦为“肉鸡”,成为挖矿、DDoS攻击或数据窃取的帮凶。

安全加固不是一项可选任务,而是服务器上线后的必需步骤。本文将通过三大核心措施:SSH端口隐藏Fail2ban主动防御密钥登录,为你构建一道坚固的服务器防线。

一、第一道防线:告别默认端口,隐藏SSH服务

1. 修改默认SSH端口(22)

这是最简单、最立即生效的防护措施。自动化脚本大多只扫描22端口,修改端口能过滤掉90%以上的无意义攻击流量。

操作步骤

  1. 编辑SSH配置文件:

    sudo vim /etc/ssh/sshd_config

  2. 找到 #Port 22 这一行,取消注释并将 22 修改为一个1024到65535之间的非知名端口(例如 58239)。

    # 将 #Port 22 改为:
Port 58239

    建议保留Port 22并注释掉,作为配置错误的备用方案,等新端口确认可用后再删除。

  3. 保存文件后,重启SSH服务使配置生效:

    sudo systemctl restart sshd

    ⚠️ 重要警告不要立即关闭当前连接! 打开一个新的终端窗口,使用新端口尝试连接服务器,确认成功后再退出当前会话。

    ssh -p 58239 your_username@your_server_ip

2. 使用防火墙强化:仅允许特定IP访问(可选)

如果你有固定的办公网络IP,这是最安全的方式。

# 假设新SSH端口是 58239,你的公网IP是 123.123.123.123
sudo ufw a
最低0.47元/天 解锁文章
部署项目隐藏端口
lierjun 的专栏
06-08 4298
问题描述: 我在部署项目到服务器上的时候想要隐藏所要引用的端口,不想让端口号显示在url中 解决办法: 把端口号改为80,比如:访问 http://location:80/aaa和http://location/aaa效果是一样的 注意如果使用该端口,需要进行域名备案,如果不进行备案则不能使用,但是如果使用8080端口的话则可以继续使用 ...
服务器如何隐藏端口才能不被扫描?
最新发布
yundun008的博客
08-19 350
最直接的方法是配置服务器火墙,只允许特定的IP地址或IP范围访问特定的端口。例如,可以在火墙中设置规则,拒绝所有未经授权的IP地址对敏感端口的访问请求。这样,即使端口是开放的,不在白名单上的IP地址也无法看到或接触到这些端口端口敲门是一种安全技术,通过在尝试建立连接之前要求客户端进行一系列端口访问(敲门),从而实现对服务器端隐藏。通过实施这些策略,服务器管理员可以有效隐藏或保护端口,减少未经授权的访问和攻击的风险。这不仅能有效隐藏端口,还能提供数据传输的加密,增加了额外的安全层。
通过Knockd隐藏SSH,让客看不见你的服务器
大方子
01-11 4120
0X01设备信息: Ubuntu14.04:192.168.61.135 Kali:192.168.61.130 0X02配置过程: 先用Kali探测下Ubuntu的端口情况,可以看到Ubuntu的22端口是正常开放的 接下来在Ubuntu上安装Knockd apt-get install update apt-get install build-essential -y apt-get install knockd -y 安装完成后就cat下Knockd的配置/...
sslh隐藏端口
HH_beibei的博客
02-03 786
为例,通过SSLH让 HTTPS 和 SSH 共享同一个端口。测试,检查 SSLH 守护程序是否正在监听 443。通过端口复用来达到隐藏端口的目的。
linux系统如何修改ssh端口号,并修改隐藏ip被不被外界ping通
weixin_41831919的博客
01-05 1029
linux系统如何修改ssh端口号 修改ssh配置文件 vim /etc/ssh/sshd_config 可使用vim打开 使用ppy快速复制本行记录并修改端口号 重启sshd服务使其生效 systemctl restart sshd 查看ssh开放的端口信息,此时连接两个端口均可ssh连接 netstat -ltnp |grep ssh 在linux里,如果要想使ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令 echo 1 &g.
Windows七招:屏保加密隐藏硬盘策略
2. 隐藏硬盘驱动器入 - 文档建议在Windows根目录下的desktop.ini和folder.htt文件上做文章。通过将这两个隐藏文件复制到其他驱动器根目录,并编辑folder.htt文件,可以改变“显示文件”对话框的信息,误导试图...
电脑杀毒秘籍:系统加固程序护技巧
2. 程序保护控制: - 除了系统,程序的安全同样重要。在瑞星2009的“应用程序控制”选项中,用户可以添加并定制特定程序的访问规则,确保重要程序免受病毒或木马攻击。例如,针对“文件访问”规则,用户可以设定...
360安全卫士怎么给我们的系统加固.docx
09-26
2. **选择“加固”功能** 在“更多”菜单中,你会看到“电脑安全”分类下的“加固”选项。这个功能专门针对客攻击设计,通过扫描和强化系统关键部位,提升系统的护能力。 3. **系统检测** 点击...
腾讯云centos7安装fail2ban
Groove_Kwok的博客
04-24 783
每天醒来,第一件事当然是在床上用ipad的webssh登陆一下自己的服务器看看啦但是有一天注意到,There were 14534 failed login attempts since the last successful login.妈耶这么多次失败登陆,上网一搜相关资料不出意外是被攻击了再一查登陆记录vi /var/log/secure好吧,这么多名为root的失败登陆,都来自同一个IP:...
服务器远程root屏蔽以及登录端口设定(ssh)
xuzhouweihao的专栏
11-12 1078
为了安全考虑,有时候我们希望远程登录服务器时,止使用超级用户(root)直接进行登录并且修改ssh默认登录端口
Centos 7 隐藏telnet时的ssh版本号
qq_45699004的博客
08-04 1627
Centos 隐藏telnet时的ssh版本号 1、当通过telnet连接ssh端口时会显示ssh的版本信息 2、可通过命令修改 sed -i 's/OpenSSH_7.4/hello world/g' /usr/sbin/sshd 3、修改后如图 4、查看sshd的信息 strings /usr/sbin/sshd |grep OpenSSH ...
服务器上Tomcat如何隐藏8080端口
baidu_33512336的博客
04-09 3800
1、如果你的TOMCAT所在的机器纯粹就是只装TOMCAT作为JSP的服务器,那么将SERVE.XML文件里的默认端口号由8080改为80即可。此时不用输入端口号也能正确访问,而且地址栏也不会出现端口号。  2、如果你的TOMCAT所在机器除了装TOMCAT运行JSP外,还有IIS同时也运行ASP的话,那么这个8080端口屏蔽不了。有文章介绍可以将TOMCAT和IIS结合,可以去掉端口号,但是在
如何"隐藏"服务器程序的端口
12-11 1589
先要申明一下,这里所说的"隐藏"服务器程序的端口,并不是使用rootkit将服务器程序的端口令用户使用netstat.exe,fport.exe,mport.exe,ActivePort等第三方查看程序打开端口的程序无法查出程序打开的端口,这里所说的"隐藏"是指对远程用户的扫描或连接而言。现在先温习一下一些基本的TCP连接的网络知识:一般大家熟知的TCP连接是涉及三次握手的,首先客户先发送一个SY
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

evil robot

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值