香港服务器SSH如何配置防火墙

香港服务器 SSH 防火墙配置指南
一 核心原则与准备

• 先放行必要端口：至少放行 SSH 22/TCP，以及业务所需的 80/TCP（HTTP） 与 443/TCP（HTTPS），避免把自己锁在外面。
• 尽量缩小攻击面：仅允许可信来源访问 SSH，并启用速率限制，降低暴力破解成功率。
• 变更前准备：保持本地终端或带外控制台可用；如修改 SSH 端口，先并行保留 22 一段时间，验证新端口可连后再关闭。
• 持续监控：关注 /var/log/auth.log（SSH 登录日志）与实时流量，异常及时处置。

二 使用 UFW 快速配置 SSH 防火墙

• 允许 SSH 与常用 Web 端口：
• 命令：sudo ufw allow 22/tcp、sudo ufw allow 80/tcp、sudo ufw allow 443/tcp
• 仅允许特定来源访问 SSH（白名单）：
• 单 IP：sudo ufw allow from <你的IP> to any port 22
• 网段：sudo ufw allow from <网段/掩码> to any port 22（如：192.168.1.0/24）
• 启用连接频率限制，缓解暴力破解：
• 命令：sudo ufw limit 22/tcp（对同一来源在短时间内的重复连接进行限速/封禁）
• 启用并核验：
• 启用：sudo ufw enable
• 状态：sudo ufw status verbose（确认 22/80/443 规则与默认策略）

三 使用 firewalld 配置 SSH 防火墙（CentOS 7+/RHEL 7+）

• 放行端口或服务：
• 放行 SSH 端口（以 22 为例）：sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
• 放行 Web：sudo firewall-cmd --zone=public --add-service=http --permanent、sudo firewall-cmd --zone=public --add-service=https --permanent
• 仅允许特定来源访问 SSH：
• 命令：sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="<你的IP或网段>" port port="22" protocol="tcp" accept' --permanent
• 应用并核验：
• 重载：sudo firewall-cmd --reload
• 查看：sudo firewall-cmd --list-all（确认端口/规则与来源限制）

四 使用 iptables 配置 SSH 防火墙（通用 Linux）

• 放行回环与必要端口：
• 回环：sudo iptables -A INPUT -i lo -j ACCEPT
• SSH：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
• Web：sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT、sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
• 仅允许特定来源访问 SSH：
• 命令：sudo iptables -A INPUT -p tcp -s <你的IP或网段> --dport 22 -j ACCEPT
• 启用速率限制（缓解暴力破解）：
• 命令：sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set
• 命令：sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 6 -j DROP（60 秒内超过 6 次新连接则丢弃）
• 默认拒绝其余入站并保存：
• 命令：sudo iptables -A INPUT -j DROP（请确保已放行 SSH/业务端口与回环，避免锁死）
• 持久化：
• Debian/Ubuntu：sudo iptables-save | sudo tee /etc/iptables/rules.v4
• CentOS/RHEL 6：sudo service iptables save 或 sudo iptables-save > /etc/sysconfig/iptables
• CentOS/RHEL 7+ 建议迁移到 firewalld

五 加固与运维建议

• 修改默认 SSH 端口（可选）：编辑 /etc/ssh/sshd_config 的 Port 项，新增端口后，在防火墙放行新端口，测试连通再关闭 22。
• 仅允许可信来源登录：在 /etc/ssh/sshd_config 中使用 AllowUsers 用户名@IP 或 AllowGroups 限制可登录账户与来源；必要时配合 /etc/hosts.allow 与 /etc/hosts.deny 做双重控制。
• 禁用 root 直登与密码登录（配合密钥）：设置 PermitRootLogin no，按需启用 PasswordAuthentication no 并使用 SSH 密钥，进一步提升安全性。
• 端口敲门（Port Knocking，可选）：通过 knockd 定义“敲门”序列，仅在正确顺序访问后才临时放行 22/TCP，降低暴露面。
• 关闭不必要端口与服务：定期用 ss -tuln 或 netstat -tuln 检查并关闭无用服务。
• 日志与监控：持续关注 /var/log/auth.log、/var/log/syslog，并使用 iftop/Netdata 等工具观察异常流量与连接。