SSH 远程登录指定端口与账号配置指南

带端口连接：

• 命令：ssh -p 2222 [email protected]
• 说明：用于连接非标准端口 (22) 的 SSH 服务
• 示例场景：当服务器管理员出于安全考虑将 SSH 端口改为 2222 时使用

使用指定密钥：

• 命令：ssh -i ~/.ssh/custom_id_rsa user@host
• 说明：指定使用自定义密钥文件进行认证
• 最佳实践：
  • 密钥文件应设置 600 权限
  • 建议为不同服务使用不同密钥
  • 典型路径：~/.ssh/目录下

本地端口转发：

• 命令：ssh -L 8080:localhost:80 user@host
• 功能说明：
  • 将本地 8080 端口转发到远程服务器的 80 端口
  • 适用于访问内网 Web 服务
• 应用示例：访问公司内网的测试环境网站

跳板机连接 (SSH 跳转)：

• 命令：ssh -J user1@jump_host user2@target_host
• 详细说明：
  • 先连接到跳板机 (jump_host)
  • 再通过跳板机连接到目标主机 (target_host)
  • 需要配置跳板机的 SSH 访问权限
• 安全建议：在跳板机上使用密钥认证并限制 IP 访问

组合使用示例：

• 复杂场景命令：ssh -i ~/.ssh/prod_key -p 2222 -J [email protected] [email protected]
• 说明：通过 2222 端口，使用 prod_key 密钥，先连接到堡垒机，最终连接到生产环境 web 集群

通过合理配置这些参数组合，可以：

• 满足企业级安全要求
• 实现复杂网络环境下的服务器管理
• 提高运维工作效率
• 确保连接过程的安全性

注意事项：

1. 建议将常用连接配置写入 ~/.ssh/config 文件
2. 生产环境建议禁用密码认证
3. 定期轮换 SSH 密钥
4. 使用 ssh-agent 管理密钥更安全

SSH 使用注意事项详解

1. 主机密钥验证

首次连接远程服务器时，SSH 会提示确认主机密钥指纹。这是 SSH 的重要安全机制，用于防止中间人攻击。系统会显示类似如下的信息：

The authenticity of host 'example.com (192.168.1.1)' can't be established. ECDSA key fingerprint is SHA256:AbCdEfGhIjKlMnOpQrStUvWxYz0123456789. Are you sure you want to continue connecting (yes/no)?

验证方法：应通过其他可信渠道（如服务器管理员）获取正确的指纹信息进行比对。

2. 防火墙配置

确保网络防火墙（包括本地和服务器端）允许 SSH 端口（默认 22）的通信：

• 对于 UFW 防火墙：sudo ufw allow 22/tcp
• 对于 firewalld：sudo firewall-cmd --add-service=ssh --permanent
• 对于云服务器，需在云平台安全组中开放相应端口

3. 非标准端口配置

修改默认端口的步骤：

1. 编辑服务器端配置文件：sudo nano /etc/ssh/sshd_config
2. 找到并修改 Port 指令，例如：Port 2222
3. 重启 SSH 服务：sudo systemctl restart sshd
4. 连接时指定端口：ssh -p 2222 user@hostname

注意：修改端口后需确保防火墙已放行新端口。

4. 安全加固建议

禁用 root 登录

1. 编辑 /etc/ssh/sshd_config
2. 设置：PermitRootLogin no
3. 重启 SSH 服务

使用密钥认证

密钥认证比密码更安全，设置步骤：

1. 本地生成密钥对：ssh-keygen -t ed25519
2. 上传公钥到服务器：ssh-copy-id user@hostname
3. 禁用密码认证（可选）：在 sshd_config 中设置 PasswordAuthentication no
4. 重启 SSH 服务使配置生效