Linux 服务器安全防护手册（一）：第一道防线 —— SSH、防火墙与 Fail2ban

2084 字

10 分钟

Linux 服务器安全防护手册（一）：第一道防线 —— SSH、防火墙与 Fail2ban

2026-05-16

Tech

Linux

/

Security

/

Tutorial

/

Hardening

分层防御总览#

Linux 服务器安全不是靠单一工具就能解决的。业界标准做法是分层防御（Defense in Depth）：每一层解决不同的问题，层层叠加形成纵深防护。

1
第1层  UFW / nftables    →  控制哪些端口对外暴露
2
第2层  Fail2ban          →  检测暴力破解，自动封禁攻击 IP
3
第3层  SSH 加固           →  杜绝弱密码、root 登录等常见入侵入口
4
第4层  AppArmor / SELinux →  限制进程能访问的文件和资源
5
第5层  Auditd            →  记录所有关键操作，出事可溯源

本文是系列第一篇，聚焦前三层——SSH 加固、UFW 防火墙和 Fail2ban。这三层配置完成后，你的服务器将免疫 90% 以上的自动化攻击。

本文以 Ubuntu 24.04 LTS 为基准环境配置。Debian 用户可直接套用；RHEL/AlmaLinux/Rocky Linux 用户需将 apt 替换为 dnf，UFW 替换为 firewalld。

SSH 加固#

SSH 是服务器的入口。根据 2025-2026 年各安全厂商的入侵分析报告，超过 80% 的 Linux 服务器入侵始于 SSH 暴力破解或弱密码。加固 SSH 是整个安全体系中最重要的一步。

1. 生成 Ed25519 密钥对#

Ed25519 比 RSA 更安全、更快、密钥更短。2025 年起 OpenSSH 默认使用 Ed25519。

1
# 在本地机器执行（不是在服务器上）
2
ssh-keygen -t ed25519 -C "your-email@example.com"
3

4
# 将公钥复制到服务器
5
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@your-server
6

7
# 如果 ssh-copy-id 不可用，手动复制
8
cat ~/.ssh/id_ed25519.pub | ssh user@your-server "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

验证：用密钥登录一次，确认无需密码即可连接后再继续下一步。保持当前 SSH 会话不要断开，另开一个终端窗口测试。

2. 配置 sshd_config#

1
# 先备份原配置
2
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

编辑 /etc/ssh/sshd_config：

1
# ===== 端口 =====
2
# 改用非标准端口可减少 99% 的自动化扫描噪音
3
Port 2222
4

5
# ===== 认证方式 =====
6
# 禁用 root 直接登录
7
PermitRootLogin no
8
# 禁用密码认证——只允许密钥登录
9
PasswordAuthentication no
10
# 禁用空密码
11
PermitEmptyPasswords no
12
# 启用公钥认证
13
PubkeyAuthentication yes
14

15
# ===== 登录限制 =====
16
# 只允许指定用户登录
17
AllowUsers deploy
18
# 最大尝试次数
19
MaxAuthTries 3
20
# 最大并发未认证连接数
21
MaxStartups 3:30:10
22

23
# ===== 超时 =====
24
# 客户端无操作 5 分钟后发送保活探测
25
ClientAliveInterval 300
26
# 最多发 2 次
27
ClientAliveCountMax 2
28

29
# ===== 禁用不需要的功能 =====
30
X11Forwarding no
31
AllowTcpForwarding no
32
PermitTunnel no
33
AllowAgentForwarding no
34

35
# ===== 强加密套件 =====
36
# 只允许现代加密算法
37
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
38
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256@libssh.org
39
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
40
HostKeyAlgorithms ssh-ed25519

CIS Level 2 建议使用 AllowUsers 白名单。只把需要 SSH 登录的用户加进去，这是最小权限原则的体现。

配置生效前先做语法检查，防止把自己锁在外面：

1
sudo sshd -t
2
# 无输出 = 语法正确

如果报错，根据提示修复后再执行下一步。

1
sudo systemctl reload sshd

3. 更新 UFW 规则以匹配新端口#

如果之前 UFW 已允许 22 端口，需要先更新为新的 SSH 端口再重载 sshd：

1
sudo ufw delete allow 22/tcp
2
sudo ufw allow 2222/tcp

4. 用 ssh-audit 检查配置#

ssh-audit 是开源的 SSH 配置审计工具，能检查加密算法、密钥交换、MAC 等是否安全。

1
# 安装
2
sudo apt install ssh-audit -y
3

4
# 审计本地 SSH 服务
5
ssh-audit localhost -p 2222
6

7
# 输出会给出打分和建议。目标是消除所有 warn 和 fail 项。

UFW 防火墙#

UFW（Uncomplicated Firewall）是 Ubuntu 默认的主机防火墙，本质是 iptables/nftables 的易用前端。CIS Level 1 要求启用主机防火墙并采用默认拒绝策略。

1. 基础配置#

1
# 安装（Ubuntu 通常已预装）
2
sudo apt install ufw -y
3

4
# 设置默认策略：入站拒绝，出站允许
5
sudo ufw default deny incoming
6
sudo ufw default allow outgoing
7

8
# 允许必要端口
9
sudo ufw allow 2222/tcp    # SSH（使用上面配置的新端口）
10
sudo ufw allow 80/tcp      # HTTP
11
sudo ufw allow 443/tcp     # HTTPS
12

13
# 如果服务器需要响应 ping（ICMP），编辑 /etc/ufw/before.rules
14
# 找到 "ok icmp codes for INPUT" 部分，确认相关规则未被注释
15

16
# 启动防火墙
17
sudo ufw enable
18

19
# 查看状态
20
sudo ufw status verbose

2. 进阶：限制 SSH 来源 IP#

生产环境中，如果运维人员有固定办公 IP 或通过 VPN 访问，应限制 SSH 只允许这些 IP：

1
# 删除之前的开放规则
2
sudo ufw delete allow 2222/tcp
3

4
# 只允许特定 IP 段访问 SSH
5
sudo ufw allow from 192.168.10.0/24 to any port 2222 proto tcp
6
# 允许公司 VPN 出口 IP
7
sudo ufw allow from 203.0.113.5 to any port 2222 proto tcp

没有固定 IP 的环境至少要保持 Fail2ban 开启（见下节）。

3. 开启日志#

1
sudo ufw logging medium
2
# 日志级别：off | low | medium | high
3

4
# 查看被拦截的连接
5
grep "UFW BLOCK" /var/log/ufw.log | tail -20

4. 应用级规则#

UFW 内置常见应用的预设规则，可以直接用应用名配置：

1
# 列出已知应用
2
sudo ufw app list
3

4
# 允许 Nginx 全量（HTTP + HTTPS）
5
sudo ufw allow "Nginx Full"
6

7
# 只允许 HTTPS
8
sudo ufw allow "Nginx HTTPS"

Fail2ban 防暴力破解#

Fail2ban 监控服务日志，当检测到来自同一 IP 的多次失败尝试后自动调用防火墙封禁该 IP。CIS Level 1 推荐部署 Fail2ban 保护 SSH。

1. 安装#

1
sudo apt install fail2ban -y

2. 创建配置文件#

不要直接修改 /etc/fail2ban/jail.conf（升级时会覆盖），应在 jail.local 中覆盖配置：

1
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑 /etc/fail2ban/jail.local：

1
[DEFAULT]
2
# ===== 白名单 =====
3
# 你自己的办公 IP、VPN 网段等，这些 IP 永远不会被封
4
ignoreip = 127.0.0.1/8 ::1
5

6
# ===== 封禁策略 =====
7
# 统计窗口：在此时间内累计失败次数
8
findtime = 10m
9
# 最大失败次数
10
maxretry = 5
11
# 封禁时长
12
bantime = 1h
13

14
# ===== 累进封禁（累犯加重处罚）=====
15
bantime.increment = true
16
# 封禁时长倍乘因子（第1次1h → 第2次2h → 第3次4h → ...）
17
bantime.factor = 2
18
# 最大封禁时长上限
19
bantime.maxtime = 7d
20

21
# ===== 通知（可选）=====
22
# destemail = admin@yourdomain.com
23
# sendername = Fail2Ban
24
# mta = sendmail
25
# action = %(action_mwl)s
26

27
# ===== SSH Jail =====
28
[sshd]
29
enabled   = true
30
port      = 2222
31
filter    = sshd
32
logpath   = /var/log/auth.log
33
maxretry  = 3
34
# SSH 更敏感，直接封 1 天
35
bantime   = 1d
36

37
# ===== Nginx 防暴力破解（如果运行了 Nginx）=====
38
[nginx-http-auth]
39
enabled  = true
40
port     = http,https
41
filter   = nginx-http-auth
42
logpath  = /var/log/nginx/error.log
43
maxretry = 5
44

45
# ===== 防恶意扫描 =====
46
[nginx-botsearch]
47
enabled  = true
48
port     = http,https
49
filter   = nginx-botsearch
50
logpath  = /var/log/nginx/access.log
51
maxretry = 3

3. 启动与验证#

1
# 启动服务
2
sudo systemctl enable fail2ban
3
sudo systemctl restart fail2ban
4

5
# 查看所有 Jail 状态
6
sudo fail2ban-client status
7

8
# 查看 SSH Jail 封禁情况
9
sudo fail2ban-client status sshd

4. 常用管理命令#

1
# 查看被封禁的 IP 列表
2
sudo fail2ban-client get sshd banned
3

4
# 手动封禁某个 IP
5
sudo fail2ban-client set sshd banip 192.0.2.10
6

7
# 手动解封某个 IP
8
sudo fail2ban-client set sshd unbanip 192.0.2.10
9

10
# 查看 Fail2ban 日志
11
sudo journalctl -u fail2ban -f

5. Fail2ban 与 UFW 的联动态#

默认情况下 Fail2ban 使用 iptables 封禁。如果你的系统后端是 nftables（Ubuntu 22.04+），需要确认 Fail2ban 的 banaction 配置正确：

1
# 检查后端
2
sudo fail2ban-client get banaction
3

4
# 如果不是使用 ufw 或 nftables，编辑 jail.local 的 [DEFAULT] 段：
5
# banaction = ufw

验证清单#

完成配置后，按顺序逐项验证：

1
☐ 密钥登录正常（不再需要输入密码）
2
☐ sshd -t 语法检查无报错
3
☐ root 登录被拒绝：ssh root@server -p 2222 → Permission denied
4
☐ 密码登录被拒绝（在另一台机器上测试：ssh -o PreferredAuthentications=password user@server -p 2222）
5
☐ UFW 状态为 active，默认策略为 deny (incoming)
6
☐ 只开放了 2222、80、443 三个端口
7
☐ Fail2ban 状态为 active，sshd jail 正常运行
8
☐ 故意输错密码 3 次后 IP 被封禁

速查表#

1
# ===== SSH =====
2
ssh-keygen -t ed25519 -C "your-email"          # 生成密钥
3
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@host  # 复制公钥
4
sudo sshd -t                                    # 检查配置语法
5
sudo systemctl reload sshd                      # 重载 SSH 配置
6

7
# ===== UFW =====
8
sudo ufw status verbose                         # 查看详细状态
9
sudo ufw allow 443/tcp                          # 开放端口
10
sudo ufw delete allow 443/tcp                   # 删除规则
11
sudo ufw allow from 192.168.1.0/24 to any port 2222  # 限制来源 IP
12
sudo ufw logging medium                         # 开启日志
13

14
# ===== Fail2ban =====
15
sudo fail2ban-client status                     # 查看所有 jail
16
sudo fail2ban-client status sshd                # 查看 SSH jail
17
sudo fail2ban-client get sshd banned            # 被封 IP 列表
18
sudo fail2ban-client set sshd unbanip <IP>      # 手动解封
19
sudo systemctl restart fail2ban                 # 重启 Fail2ban

延伸阅读#

ssh-audit — SSH 服务器安全审计工具
BetterCrypto.org — SSH 和 TLS 加密配置最佳实践
CrowdSec — Fail2ban 的现代替代品，基于社区威胁情报（开源）

下一篇：Linux 服务器安全防护手册（二）：系统层加固——用户权限、内核参数调优、自动更新与文件系统加固。

Linux 服务器安全防护手册（一）：第一道防线 —— SSH、防火墙与 Fail2ban

https://blog.syomega.top/posts/linux-security-1/

作者

酱w

发布于

2026-05-16

许可协议

CC BY-NC-SA 4.0

Linux 服务器安全防护手册（二）：系统层加固 —— 用户、内核、更新与文件系统