提升SSH安全性：两种方法限制特定IP访问

在日常的服务器管理中，SSH（Secure Shell）作为远程管理和维护的重要工具，其安全性至关重要。为了防止未授权访问，可以通过以下两种方法来加强SSH的安全性：

方法一：更改SSH服务端口

默认情况下，SSH服务运行在22端口上，这使得它成为攻击者常见的攻击目标。通过更改SSH服务端口，可以有效减少恶意扫描的风险。

1. 编辑SSH配置文件：/etc/ssh/sshd_config，找到#Port 22这一行，并将其修改为你希望使用的端口号，例如5022：

Port 5022

2. 保存文件并重启SSH服务以应用更改：

   [root@server]# systemctl restart sshd

3. 现在你可以通过新的端口号连接到服务器：

   ssh -p 5022 username@server_ip

方法二：限制特定IP地址的SSH登录

OpenSSH提供了限制特定用户只能从指定IP地址登录的功能，这对于提高安全性非常有用。下面是一些常见的配置场景：

场景1：限制用户仅从特定网络登录

假设你希望用户仅能从99.19.19.0/24这个子网登录，可以在/etc/ssh/sshd_config文件的末尾添加如下行：

AllowUsers *@99.19.19.*

保存配置文件后，重启SSH服务使更改生效。这样，只有来自99.19.19.0/24子网的用户才能成功登录。

场景2：为不同用户提供不同的访问规则

例如，管理员admin可以从LAN（10.88.88.0/24）或特定的WAN IP（123.123.123.10）登录，而普通用户yurisk可以从任何位置登录。在/etc/ssh/sshd_config中添加如下配置：

AllowUsers admin@123.123.123.10 admin@10.88.88.* yurisk

这些配置帮助确保只有经过授权的用户才能访问系统，从而增强了系统的安全性。