SSH 安全加固 10 大实战方法：修改端口 / 密钥认证 / Fail2ban/IP 白名单 / 2FA 全解析

凌晨3点，我被一阵急促的告警短信惊醒。服务器CPU使用率飙升至100%，系统几乎瘫痪。紧急登录查看，发现 /var/log/secure 日志文件已经膨胀到几个GB，里面密密麻麻全是失败的SSH登录尝试——服务器正在遭受暴力破解攻击。

这是3年前我刚接手一个创业公司运维工作时的真实经历。那一夜，我花了整整5个小时才将系统恢复正常，但数据库已经被加密勒索，公司损失惨重。从那以后，SSH安全加固成了我运维工作的重中之重。

据统计，超过80%的服务器入侵都是从SSH暴力破解开始的。每天，互联网上有数以百万计的自动化脚本在扫描22端口，尝试用常见密码组合登录服务器。如果你的服务器SSH配置还停留在默认状态，那么被攻破只是时间问题。

今天，我将分享10种经过实战检验的SSH安全加固方法，这些方法帮助我管理的上百台服务器在过去3年里实现了零入侵。更重要的是，我会告诉你如何根据实际场景组合使用这些方法，构建一个多层次的安全防护体系。

一、SSH暴力破解的威胁分析

1.1 攻击原理剖析

SSH暴力破解本质上是一种穷举攻击。攻击者通过自动化工具，使用预设的用户名和密码字典，不断尝试登录目标服务器。典型的攻击流程如下：

# 攻击者常用的扫描命令示例nmap -p 22 --open -sV 192.168.1.0/24# 发现开放22端口后，使用hydra进行暴力破解hydra -L users.txt -P passwords.txt ssh://192.168.1.100

我曾经在蜜罐服务器上收集攻击数据，发现最常被尝试的用户名包括：root、admin、test、oracle、postgres等；最常见的密码则是：123456、password、admin123、root123等。

1.2 真实攻击数据

通过分析我管理的服务器日志，得出以下触目惊心的数据：

• • 平均每台暴露在公网的服务器，每天会遭受3000-8000次SSH登录尝试
• • 攻击来源遍布全球，其中70%来自境外IP
• • 凌晨2-4点是攻击高峰期，因为这时管理员通常不在线
• • 一旦密码被破解，平均12分钟内就会被植入挖矿程序

1.3 攻击升级趋势

近年来，SSH攻击手段不断升级：

1. 1. 分布式攻击：使用僵尸网络，从数千个IP同时发起攻击，规避单IP限制
2. 2. 智能字典：根据目标特征定制密码字典，如公司名称、员工姓名组合
3. 3. 时间差攻击：降低尝试频率，每个IP每小时只尝试几次，避免触发告警
4. 4. 0day利用：结合SSH协议漏洞，即使密码复杂也可能被攻破

二、10种SSH安全加固方法详解

方法1：修改默认SSH端口

这是最简单却极其有效的方法。据统计，仅修改默认端口就能减少95%以上的自动化扫描。

实施步骤：

# 1. 编辑SSH配置文件vim /etc/ssh/sshd_config# 2. 修改端口（建议使用10000-65535之间的端口）Port 23456  # 原来是Port 22# 3. 如果有SELinux，需要添加新端口到SSH服务semanage port -a -t ssh_port_t -p tcp 23456# 4. 防火墙放行新端口firewall-cmd --permanent --add-port=23456/tcpfirewall-cmd --reload# 5. 重启SSH服务systemctl restart sshd# 6. 测试新端口连接ssh -p 23456 user@server_ip

注意事项：

• • 修改前确保新端口未被占用：netstat -tulnp | grep 23456
• • 保持一个备用SSH会话，防止配置错误导致无法连接
• • 记录新端口并通知相关人员

实战技巧：我通常会选择一个有特殊含义但不明显的端口，比如公司成立年份、重要日期的组合，这样团队成员容易记住，外人却难以猜测。

方法2：禁用root用户直接登录

Root权限是攻击者的终极目标，禁用root直接登录可以增加一道防线。

配置方法：

# 编辑sshd_configvim /etc/ssh/sshd_config# 设置禁止root登录PermitRootLogin no# 重启SSH服务systemctl restart sshd

替代方案：

# 创建管理员用户useradd -m -s /bin/bash sysadminpasswd sysadmin# 添加到sudo组usermod -aG wheel sysadmin# 配置sudo免密（可选，但要谨慎）echo"sysadmin ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers.d/sysadmin

最佳实践：

• • 使用普通用户登录后，通过sudo su -切换到root
• • 为不同管理员创建独立账号，便于审计
• • 定期审查sudo权限配置

方法3：使用SSH密钥认证

密钥认证比密码认证安全性高出几个数量级，是我最推荐的认证方式。

完整配置流程：

# 客户端生成密钥对ssh-keygen -t ed25519 -C "your_email@example.com" -f ~/.ssh/id_ed25519_server# 查看公钥内容cat ~/.ssh/id_ed25519_server.pub# 将公钥复制到服务器ssh-copy-id -i ~/.ssh/id_ed25519_server.pub -p 23456 user@server_ip# 或手动添加到服务器mkdir -p ~/.sshchmod 700 ~/.sshecho"ssh-ed25519 AAAAC3Nza..." >> ~/.ssh/authorized_keyschmod 600 ~/.ssh/authorized_keys# 服务器端配置vim /etc/ssh/sshd_config# 添加以下配置PubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication no  # 禁用密码认证# 重启SSH服务systemctl restart sshd

密钥管理最佳实践：

1. 1. 使用强密钥算法：推荐Ed25519，其次是RSA 4096位
2. 2. 设置密钥密码：为私钥添加passphrase多一层保护
3. 3. 定期轮换密钥：建议每3-6个月更换一次
4. 4. 使用密钥管理工具：如HashiCorp Vault、AWS Secrets Manager

高级技巧：多密钥管理

# ~/.ssh/config 配置示例Host prod-server    HostName 192.168.1.100    Port 23456    User sysadmin    IdentityFile ~/.ssh/id_ed25519_prod    Host dev-server    HostName 192.168.1.200    Port 24567    User developer    IdentityFile ~/.ssh/id_ed25519_dev

方法4：配置Fail2ban自动封禁

Fail2ban是一个强大的入侵防御工具，可以自动封禁多次失败尝试的IP。

详细配置：

# 安装Fail2banyum install -y epel-releaseyum install -y fail2ban fail2ban-systemd# 创建本地配置文件cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 配置SSH防护规则cat > /etc/fail2ban/jail.d/sshd.local << EOF[sshd]enabled = trueport = 23456filter = sshdlogpath = /var/log/securemaxretry = 3findtime = 600bantime = 3600ignoreip = 127.0.0.1/8 192.168.1.0/24EOF# 启动服务systemctl enable fail2bansystemctl start fail2ban# 查看封禁状态fail2ban-client status sshd# 手动解封IPfail2ban-client set sshd unbanip 1.2.3.4

高级配置：递增封禁时间

# 创建递增封禁规则cat > /etc/fail2ban/jail.d/sshd-aggressive.local << EOF[sshd-aggressive]enabled = trueport = 23456filter = sshdlogpath = /var/log/securemaxretry = 2findtime = 3600bantime = 86400# 递增封禁：第二次封禁时间翻倍bantime.increment = truebantime.factor = 2bantime.maxtime = 2592000  # 最长30天EOF

方法5：设置登录IP白名单

对于固定办公场所，IP白名单是最直接的防护手段。

多种实现方式：

方式一：通过SSH配置

# /etc/ssh/sshd_config# 只允许特定IP或IP段AllowUsers sysadmin@192.168.1.* developer@203.0.113.0/24# 或使用Match块Match Address 192.168.1.0/24,203.0.113.0/24    PermitRootLogin no    PubkeyAuthentication yesMatch Address *    DenyUsers *

方式二：使用TCPWrappers

# /etc/hosts.allowsshd: 192.168.1.0/255.255.255.0sshd: 203.0.113.0/255.255.255.0# /etc/hosts.denysshd: ALL

方式三：防火墙规则

# 使用firewalldfirewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="23456" protocol="tcp" accept'firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port port="23456" protocol="tcp" reject'firewall-cmd --reload

方法6：使用双因素认证(2FA)

即使密码或密钥泄露，2FA仍能提供额外保护。

Google Authenticator配置：

# 安装必要组件yum install -y google-authenticator qrencode# 为用户生成2FA配置su - sysadmingoogle-authenticator# 按提示操作，记录应急码# 扫描二维码或输入密钥到手机APP# 配置PAMvim /etc/pam.d/sshd# 添加到文件开头auth required pam_google_authenticator.so# 配置SSHvim /etc/ssh/sshd_configChallengeResponseAuthentication yesAuthenticationMethods publickey,keyboard-interactive# 重启SSHsystemctl restart sshd

批量用户2FA部署脚本：

#!/bin/bash# 批量配置2FA脚本USERS="sysadmin developer analyst"for user in$USERS; do    su - $user -c "google-authenticator -t -d -r 3 -R 30 -w 3 -Q UTF8 -f"    echo"2FA configured for $user"    # 发送配置信息给用户    mail -s "Your 2FA Setup"$user@company.com < /home/$user/.google_authenticatordone

方法7：限制并发连接数

防止单个IP发起大量连接消耗系统资源。

# SSH配置vim /etc/ssh/sshd_config# 限制并发未认证连接MaxStartups 3:50:10# 格式：start:rate:full# 当未认证连接达到3个时，开始随机拒绝50%的新连接# 当达到10个时，拒绝所有新连接# 限制每个用户的最大会话数MaxSessions 3# 限制认证尝试次数MaxAuthTries 3# 设置登录宽限时间LoginGraceTime 30

方法8：配置Session超时

自动断开空闲连接，减少被劫持风险。

# SSH服务端配置vim /etc/ssh/sshd_config# 客户端空闲超时ClientAliveInterval 300  # 5分钟发送一次心跳ClientAliveCountMax 2    # 2次无响应后断开# Shell超时配置echo"export TMOUT=900" >> /etc/profile.d/timeout.shchmod +x /etc/profile.d/timeout.sh

方法9：日志监控与告警

实时监控是发现异常的关键。

rsyslog配置：

# 配置SSH日志cat > /etc/rsyslog.d/ssh.conf << EOF# SSH日志单独记录:programname, isequal, "sshd" /var/log/ssh.log& stop# 实时转发到日志服务器*.* @@logserver.company.com:514EOFsystemctl restart rsyslog

告警脚本示例：

#!/bin/bash# ssh_monitor.sh - SSH登录监控脚本LOG_FILE="/var/log/secure"ALERT_EMAIL="admin@company.com"WEBHOOK_URL="https://hooks.slack.com/services/xxx"# 监控失败登录tail -F $LOG_FILE | whileread line; do    ifecho"$line" | grep -q "Failed password"; then        IP=$(echo"$line" | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b")        COUNT=$(grep "$IP"$LOG_FILE | grep "Failed password" | tail -100 | wc -l)                if [ $COUNT -gt 5 ]; then            # 发送邮件告警            echo"Warning: $IP failed login $COUNT times" | mail -s "SSH Attack Alert"$ALERT_EMAIL                        # 发送Slack告警            curl -X POST -H 'Content-type: application/json' \                --data "{\"text\":\"⚠️ SSH Attack: $IP attempted $COUNT failed logins\"}" \                $WEBHOOK_URL                            # 自动封禁            firewall-cmd --add-rich-rule="rule family=ipv4 source address=$IP reject" --timeout=3600        fi    fi        # 监控成功登录    ifecho"$line" | grep -q "Accepted publickey\|Accepted password"; then        USER=$(echo"$line" | grep -oP "for \K\w+")        IP=$(echo"$line" | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b")                # 记录登录信息        echo"$(date): $USER logged in from $IP" >> /var/log/ssh_login.log                # 发送登录通知（针对重要账号）        if [ "$USER" = "root" ] || [ "$USER" = "sysadmin" ]; then            curl -X POST -H 'Content-type: application/json' \                --data "{\"text\":\"✅ $USER logged in from $IP\"}" \                $WEBHOOK_URL        fi    fidone

方法10：使用跳板机(堡垒机)

对于生产环境，跳板机提供了最完善的访问控制和审计能力。

开源跳板机Jumpserver部署：

# 使用Docker快速部署curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.28.0/quick_start.sh | bash# 基础配置cd /opt/jumpserver./jmsctl.sh start# 访问 http://ip:80# 默认账号：admin/admin

自建简易跳板机：

#!/bin/bash# simple_bastion.sh - 简易跳板机脚本# 记录所有操作export HISTTIMEFORMAT="%F %T "export PROMPT_COMMAND='history -a; echo "$(date +%F-%T) $(whoami) $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//")" >> /var/log/bastion.log'# 限制可执行命令cat > /etc/profile.d/bastion.sh << 'EOF'# 跳板机环境设置PS1='\[\e[31m\][BASTION]\[\e[0m\] \u@\h:\w\$ '# 定义允许的服务器列表declare -A SERVERSSERVERS[prod]="192.168.1.100"SERVERS[dev]="192.168.1.200"SERVERS[test]="192.168.1.150"# 连接函数functionconnect() {    if [ -z "$1" ]; then        echo"Usage: connect [prod|dev|test]"        echo"Available servers:"        for key in"${!SERVERS[@]}"; do            echo"  - $key: ${SERVERS[$key]}"        done        return 1    fi        if [ -z "${SERVERS[$1]}" ]; then        echo"Unknown server: $1"        return 1    fi        echo"Connecting to $1 (${SERVERS[$1]})..."    echo"Session will be recorded."        # 使用script命令记录会话    script -q -f /var/log/sessions/$(date +%Y%m%d-%H%M%S)-$(whoami)-$1.log \        -c "ssh -p 23456 ${SERVERS[$1]}"}# 限制其他命令alias ssh='echo "Please use: connect [server_name]"'alias scp='echo "File transfer not allowed from bastion"'EOF

三、构建多层防护体系

3.1 纵深防御架构

单一防护措施都可能被突破，真正的安全来自于多层防护的组合：

互联网    ↓[第一层：网络防火墙]    - IP白名单    - DDoS防护    - 地理位置封锁    ↓[第二层：应用防火墙]      - Fail2ban    - 端口敲门    - 连接限制    ↓[第三层：认证层]    - 密钥认证    - 2FA认证    - 证书认证    ↓[第四层：授权层]    - 最小权限原则    - sudo审计    - 命令限制    ↓[第五层：审计层]    - 操作录像    - 日志分析    - 异常检测

3.2 场景化配置方案

场景一：个人VPS服务器

• • 修改SSH端口 ✓
• • 禁用root登录 ✓
• • 密钥认证 ✓
• • Fail2ban ✓

场景二：小型企业服务器

• • 以上全部 +
• • IP白名单 ✓
• • 2FA认证 ✓
• • 日志监控 ✓

场景三：大型企业生产环境

• • 以上全部 +
• • 跳板机 ✓
• • 4A系统集成 ✓
• • SOC联动 ✓
• • 定期安全审计 ✓

3.3 应急响应预案

即使做了万全准备，也要为最坏情况做好准备：

#!/bin/bash# emergency_response.sh - SSH入侵应急响应脚本# 1. 立即断网（保留管理网络）iptables -I INPUT -i eth0 -j DROPiptables -I INPUT -s 192.168.1.0/24 -j ACCEPT# 2. 保存现场mkdir -p /tmp/incident_$(date +%Y%m%d)cp -r /var/log/* /tmp/incident_$(date +%Y%m%d)/netstat -tupln > /tmp/incident_$(date +%Y%m%d)/netstat.logps aux > /tmp/incident_$(date +%Y%m%d)/process.logw > /tmp/incident_$(date +%Y%m%d)/users.loglast -100 > /tmp/incident_$(date +%Y%m%d)/last.log# 3. 查找可疑进程lsof -i :22ps aux | grep -E "(nmap|hydra|masscan)"# 4. 检查后门find / -name "*.sh" -mtime -1 2>/dev/nullcrontab -lcat /etc/crontab# 5. 重置所有密码和密钥for user in $(cut -d: -f1 /etc/passwd); do    if [ -d "/home/$user/.ssh" ]; then        mv /home/$user/.ssh/authorized_keys /home/$user/.ssh/authorized_keys.bak        echo"Reset keys for $user"    fidone# 6. 生成报告echo"Incident Response Report" > /tmp/incident_report.txtecho"Time: $(date)" >> /tmp/incident_report.txtecho"Affected System: $(hostname)" >> /tmp/incident_report.txt

四、性能优化与平衡

安全加固不可避免会影响性能和便利性，关键是找到平衡点。

4.1 性能影响评估

我对不同安全措施的性能影响进行了测试：

4.2 优化建议

# SSH连接复用，减少重复认证# ~/.ssh/configHost *    ControlMaster auto    ControlPath ~/.ssh/sockets/%r@%h-%p    ControlPersist 600    ServerAliveInterval 60    Compression yes    # 服务端优化# /etc/ssh/sshd_configUseDNS no  # 关闭DNS反查，加快连接GSSAPIAuthentication no  # 关闭GSSAPI认证Compression delayed  # 延迟压缩

五、自动化运维实践

5.1 Ansible批量配置

# ssh_hardening.yml - Ansible剧本----name:SSHSecurityHardeninghosts:allbecome:yesvars:    ssh_port:23456    allowed_users:      -sysadmin      -developer    tasks:    -name:BackupSSHconfig      copy:        src:/etc/ssh/sshd_config        dest:/etc/ssh/sshd_config.bak        remote_src:yes        -name:ConfigureSSH      lineinfile:        path:/etc/ssh/sshd_config        regexp:"{{ item.regexp }}"        line:"{{ item.line }}"      loop:        - { regexp:'^#?Port', line:'Port {{ ssh_port }}' }        - { regexp:'^#?PermitRootLogin', line:'PermitRootLogin no' }        - { regexp:'^#?PasswordAuthentication', line:'PasswordAuthentication no' }        - { regexp:'^#?PubkeyAuthentication', line:'PubkeyAuthentication yes' }            -name:InstallFail2ban      package:        name:fail2ban        state:present            -name:ConfigureFail2ban      template:        src:jail.local.j2        dest:/etc/fail2ban/jail.local      notify:restartfail2ban          -name:SetupSSHkeys      authorized_key:        user:"{{ item }}"        key:"{{ lookup('file', 'keys/{{ item }}.pub') }}"      loop:"{{ allowed_users }}"      handlers:    -name:restartsshd      systemd:        name:sshd        state:restarted            -name:restartfail2ban      systemd:        name:fail2ban        state:restarted

5.2 监控大屏展示

# ssh_monitor_dashboard.py - 实时监控面板import reimport timefrom collections import defaultdictimport matplotlib.pyplot as pltfrom datetime import datetime, timedeltaclassSSHMonitor:    def__init__(self):        self.failed_attempts = defaultdict(int)        self.successful_logins = []        self.blocked_ips = set()            defparse_log(self, log_file='/var/log/secure'):        withopen(log_file, 'r') as f:            for line in f.readlines()[-1000:]:  # 最近1000行                # 解析失败尝试                if'Failed password'in line:                    ip = re.search(r'(\d+\.\d+\.\d+\.\d+)', line)                    if ip:                        self.failed_attempts[ip.group()] += 1                                # 解析成功登录                if'Accepted'in line:                    match = re.search(r'(\w+) from (\d+\.\d+\.\d+\.\d+)', line)                    ifmatch:                        self.successful_logins.append({                            'user': match.group(1),                            'ip': match.group(2),                            'time': datetime.now()                        })        defgenerate_report(self):        print("="*50)        print("SSH Security Report - {}".format(datetime.now()))        print("="*50)                # Top 10 攻击源        print("\n[Top 10 Attack Sources]")        for ip, count insorted(self.failed_attempts.items(),                                key=lambda x: x[1], reverse=True)[:10]:            print(f"{ip:20} - {count:5} attempts")                # 最近登录        print("\n[Recent Successful Logins]")        for login inself.successful_logins[-5:]:            print(f"{login['time']} - {login['user']}@{login['ip']}")                # 统计信息        print("\n[Statistics]")        print(f"Total Attack IPs: {len(self.failed_attempts)}")        print(f"Total Failed Attempts: {sum(self.failed_attempts.values())}")        print(f"Successful Logins Today: {len(self.successful_logins)}")if __name__ == "__main__":    monitor = SSHMonitor()    whileTrue:        monitor.parse_log()        monitor.generate_report()        time.sleep(300)  # 每5分钟更新

六、故障排查与恢复

6.1 常见问题处理

问题1：修改配置后无法连接

# 通过控制台或VNC连接# 检查配置语法sshd -t# 查看错误日志journalctl -u sshd -n 50# 恢复备份配置mv /etc/ssh/sshd_config.bak /etc/ssh/sshd_configsystemctl restart sshd

问题2：忘记修改后的端口

# 查看监听端口netstat -tlnp | grep sshdss -tlnp | grep sshd# 查看配置文件grep "^Port" /etc/ssh/sshd_config

问题3：密钥认证失败

# 检查权限chmod 700 ~/.sshchmod 600 ~/.ssh/authorized_keyschmod 600 ~/.ssh/id_rsa# 开启详细日志ssh -vvv user@server# 服务端查看认证日志tail -f /var/log/secure | grep sshd

6.2 灾难恢复流程

当服务器被完全锁定时的恢复步骤：

1. 1. 通过物理控制台或云平台VNC连接
2. 2. 进入单用户模式# 重启时按e编辑grub# 在linux行末尾添加 single 或 init=/bin/bash# Ctrl+X 启动
3. 3. 重置SSH配置mount -o remount,rw /cp /etc/ssh/sshd_config.default /etc/ssh/sshd_configpasswd root # 重置root密码
4. 4. 清理可疑内容> /root/.ssh/authorized_keysrm -f /etc/cron.d/suspicious_*
5. 5. 重启系统syncreboot -f

七、合规性与审计

7.1 合规性检查清单

对于需要满足等保2.0或ISO27001的企业，以下是必须满足的SSH安全要求：

• • 禁用SSH协议版本1
• • 使用强加密算法（AES256、SHA256）
• • 密钥长度不少于2048位（RSA）或256位（ECDSA）
• • 账号锁定策略（5次失败锁定30分钟）
• • 密码复杂度要求（长度≥12，包含大小写、数字、特殊字符）
• • 会话超时设置（≤15分钟）
• • 审计日志保存时间（≥6个月）
• • 定期安全评估（每季度）

7.2 自动化合规检查脚本

#!/bin/bash# compliance_check.sh - SSH合规性检查echo"SSH Compliance Check Report"echo"Generated: $(date)"echo"================================"# 检查项目checks=0passed=0# 检查SSH版本checks=$((checks + 1))if ! grep -q "Protocol 1" /etc/ssh/sshd_config; then    echo"[PASS] SSH Protocol 2 only"    passed=$((passed + 1))else    echo"[FAIL] SSH Protocol 1 is enabled"fi# 检查加密算法checks=$((checks + 1))if grep -q "Ciphers.*aes256" /etc/ssh/sshd_config; then    echo"[PASS] Strong ciphers configured"    passed=$((passed + 1))else    echo"[WARN] Consider using stronger ciphers"fi# 检查root登录checks=$((checks + 1))if grep -q "^PermitRootLogin no" /etc/ssh/sshd_config; then    echo"[PASS] Root login disabled"    passed=$((passed + 1))else    echo"[FAIL] Root login is allowed"fi# 生成评分score=$((passed * 100 / checks))echo"================================"echo"Compliance Score: $score%"echo"Checks Passed: $passed/$checks"# 生成详细报告if [ $score -lt 80 ]; then    echo"Status: NON-COMPLIANT"    echo"Action Required: Immediate remediation needed"else    echo"Status: COMPLIANT"fi

结语：安全是一个持续的过程

通过实施这10种SSH安全加固方法，我们可以将服务器被入侵的风险降低99%以上。但请记住，安全不是一劳永逸的配置，而是一个持续改进的过程。

我的运维经验告诉我，最好的安全策略是：

1. 1. 分层防护：不要依赖单一防护措施
2. 2. 最小权限：只给必要的权限
3. 3. 持续监控：实时发现异常
4. 4. 定期演练：模拟攻击，检验防护效果
5. 5. 保持更新：及时修补漏洞

最后，分享一个真实案例：去年，我们的一个客户服务器遭受了持续72小时的SSH暴力攻击，攻击源超过5000个IP，尝试次数超过200万次。但由于实施了本文介绍的多层防护体系，服务器安然无恙，业务零影响。这就是做好SSH安全加固的价值。

记住：在互联网上，你的服务器每时每刻都在被扫描和攻击。与其祈祷不被选中，不如主动加固防护。今天的一点努力，可能避免明天的重大损失。