SSH连接香港服务器的关键注意事项
一 安全加固
- 使用SSH密钥认证,并禁用密码登录与root直连:在本地生成密钥(如ssh-keygen -t ed25519),将公钥写入服务器~/.ssh/authorized_keys,随后在/etc/ssh/sshd_config中设置PasswordAuthentication no、PermitRootLogin no,重启sshd生效。这样可有效抵御暴力破解与凭证泄露风险。
- 更改默认端口并限制来源IP:将Port 22改为1024–65535之间的自定义端口(如2200),同时在云平台安全组与系统防火墙仅放行该端口及可信IP,降低被扫描与爆破概率。
- 启用Fail2Ban自动封禁:安装后针对sshd配置最大重试次数与封禁时长,快速阻断反复尝试的源IP。
- 保持系统与软件及时更新/打补丁,最小化攻击面;为关键操作建立非root专用账号并采用sudo授权,遵循最小权限原则。
二 网络与访问控制
- 打通云侧与系统侧双重放行:在云服务商安全组/防火墙放行自定义SSH端口(例如2200/tcp),并在系统内使用UFW/iptables同步放行,避免只开一边导致连接失败。
- 精细化访问控制:优先采用IP白名单访问SSH;如业务需要公网访问,可结合跳板机/堡垒机或Cloudflare WAF/Zero Trust等前置控制,减少直接暴露SSH端口。
- 端口最小化原则:仅开放业务必需端口(如80/443/SSH自定义端口),其余默认拒绝;按需审计并清理不再使用的端口与规则。
三 连接稳定性与代理
- 跨境链路优化:若出现高丢包/高时延/频繁卡顿,可在客户端配置SOCKS5/HTTP代理或使用mosh等抗抖动工具;在Windows的Git Bash中可通过ProxyCommand connect -S 代理IP:端口 %h %p配合ServerAliveInterval 30、ServerAliveCountMax 5保持会话与快速重连。
四 合规与可用性与排障
- 合规与防护:面向公网提供服务的香港服务器建议启用DDoS防护/CDN与WAF,降低大流量与常见Web攻击对SSH与管理通道的影响。
- 邮件端口提示:如需自建邮件,注意云厂商常默认封锁25端口(发信),应改用587/993/995等加密端口或直接使用第三方邮件服务。
- 快速排障清单:
1) 核对云安全组/本机防火墙是否放行对应端口与协议;
2) 确认sshd服务处于运行状态(如systemctl status sshd);
3) 验证密钥权限与authorized_keys内容是否正确;
4) 如修改过端口,确保客户端指定了-p 端口;
5) 查看/var/log/auth.log等日志定位失败原因。
五 最小化配置示例
- 服务端(/etc/ssh/sshd_config 关键项):
Port 2200
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
- 重启:systemctl restart sshd
- 客户端(~/.ssh/config 片段):
Host hk-prod
HostName 1.2.3.4
Port 2200
User ubuntu
IdentityFile ~/.ssh/id_ed25519
ServerAliveInterval 30
ServerAliveCountMax 5
UFW:ufw allow 2200/tcp && ufw enable
firewalld:firewall-cmd --permanent --add-port=2200/tcp && firewall-cmd --reload
