如何安全使用SSH？限制在本地访问

SSH是一种广泛使用的工具，允许用户安全地连接远程系统。出于安全考虑，有时我们希望将SSH访问限制在本地网络内，尤其是在家庭或办公环境中，避免外部网络对系统的访问。

为什么要将SSH限制在本地网络？

限制SSH访问有助于减少未授权访问的风险：

• 安全性：防止攻击者通过互联网扫描或暴力破解。
• 控制访问：局域网内用户仍可轻松管理系统。
• 简化管理：不需额外配置复杂的安全层来保护外部访问。

什么是本地网络？

“本地网络”是指在同一物理或无线网络中连接的设备，如家庭Wi-Fi或办公室局域网，通常共享相同的内网IP地址范围，例如：192.168.x.x 或 10.0.x.x。

配置本地网络访问SSH

1. 检查Linux系统的本地IP地址范围

使用命令：

ip a

查找类似192.168.x.x或10.0.x.x的地址，以确定本地网络范围。

2. 配置SSH仅监听本地地址

编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

找到#ListenAddress，取消注释并设置为本地IP地址，例如：

ListenAddress 192.168.122.63

然后，重启SSH服务：

sudo systemctl restart sshd

3. 通过防火墙规则限制SSH访问

使用UFW防火墙（如Ubuntu）：

sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw deny 22
sudo ufw reload
sudo ufw status

在CentOS中使用Firewalld：

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="22" drop'
sudo firewall-cmd --reload

使用iptables：

sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP
sudo iptables-save | sudo tee /etc/iptables/rules.v4

4. 测试配置

在本地网络中的设备上尝试通过SSH连接服务器：

ssh 用户名@192.168.122.63

如果从外部网络连接，连接应被拒绝。

额外提示

• 设置静态IP：为需要SSH访问的设备设置静态IP。
• VPN访问：考虑设置VPN以安全连接本地网络。
• 监控日志：定期检查SSH日志/var/log/auth.log以监控访问尝试。

通过这些配置，SSH访问的安全性将显著提高，建议大家在局域网中实施这些防护措施。