阿里云企业统一信用代码认证 阿里云服务器防止暴力破解

你有没有半夜三点被手机短信惊醒？

“您的服务器IP在5分钟内被尝试登录187次，疑似暴力破解。”

别慌——这不是黑客已经破门而入，而是你的阿里云ECS正在替你挡刀。但问题是：它挡得牢吗？挡得久吗？挡完之后，会不会默默把门虚掩着，还顺手给你留了把万能钥匙？

阿里云企业统一信用代码认证 今天咱不聊高大上的零信任架构，也不扯云原生安全中台。咱们就坐在电脑前，泡杯浓茶，打开终端，一条命令一条命令地给阿里云服务器“上锁、焊门、装摄像头、再雇个脾气暴躁的保安”。真实、可复现、不玄学。

第一步：别让黑客第一眼就盯上你的“大门”

默认SSH端口22，就像小区单元门常年挂着“本栋住户请按22楼”的铜牌——等于告诉全世界：“我家密码藏在二楼，欢迎来试。”

改端口不是玄学，是成本最低的防御层。登录服务器后，先备份：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

然后编辑配置：

sudo nano /etc/ssh/sshd_config

找到这一行（大概第13行左右）：

#Port 22

删掉#号，改成比如：

Port 22222

注意！别选80、443、3389这种热门端口，也别用65535这种显眼的“最大值”——选个5位数中间段，比如22222、33445、51287都行，避开扫描器高频轮询区间。

改完保存，别急着重启！先开一个新终端窗口，用新端口测试连接：

ssh -p 22222 root@你的公网IP

如果连得上，再执行：

sudo systemctl restart sshd

如果连不上？别 panic——你还有原窗口。赶紧把配置改回去，检查是不是防火墙/安全组没同步放行。对，阿里云安全组必须手动添加新端口规则，它不会读心术。

第二步：废掉那把最危险的“万能钥匙”——root

Root账号就像古代皇宫的玉玺，谁拿到谁就能调兵遣将、焚毁诏书、册封太监总管。暴力破解者99%的目标就是它。

在sshd_config里找到：

#PermitRootLogin yes

改成：

PermitRootLogin no

但别急着重启！你得先创建一个普通用户，并赋予sudo权限：

sudo adduser zhangsan
sudo usermod -aG sudo zhangsan

（Ubuntu系统用sudo组，CentOS用wheel组，别搞混）

再给这个用户配SSH密钥——这才是正经通行证：

sudo mkdir -p /home/zhangsan/.ssh
sudo cp ~/.ssh/authorized_keys /home/zhangsan/.ssh/
sudo chown -R zhangsan:zhangsan /home/zhangsan/.ssh
sudo chmod 700 /home/zhangsan/.ssh
sudo chmod 600 /home/zhangsan/.ssh/authorized_keys

最后确认sshd_config里这句是开启的：

PubkeyAuthentication yes

现在，你只能用zhangsan + 密钥登录，root彻底隐身。就算密码被撞出来，也没用——因为root根本不接电话。

第三步：Fail2ban——那个会记仇的保安

光靠改端口+禁root，相当于把门漆成迷彩色，但小偷还是能蹲点敲门。Fail2ban是真·脾气差保安：连续输错3次密码？IP拉黑10分钟；再犯？拉黑24小时；三天内犯5次？直接加入永久黑名单。

Ubuntu安装：

sudo apt update && sudo apt install fail2ban -y

CentOS：

sudo yum install epel-release -y && sudo yum install fail2ban -y

复制默认配置防误改：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑local文件：

sudo nano /etc/fail2ban/jail.local

找到[sshd]区块，改成：

[sshd]
enabled = true
filter = sshd
port = 22222  # 注意！填你改后的端口
logpath = /var/log/auth.log  # Ubuntu路径
maxretry = 3
bantime = 3600
findtime = 600

CentOS日志路径是/var/log/secure，记得同步改logpath。

启动并开机自启：

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

查状态：sudo fail2ban-client status sshd，看到“Number of jail”为1就成功了。

第四步：安全组——阿里云给你的第一道铁闸

很多人以为“我服务器没开其他端口，就只开了22222”，其实漏了关键点：安全组规则是独立于系统防火墙的“云层过滤器”。它在流量进服务器前就截胡。

登录阿里云控制台 → 云服务器ECS → 安全组 → 找到绑定你实例的安全组 → 配置规则：

• 入方向：只放行你的办公IP（比如222.123.45.67/32），协议端口填tcp:22222；
• 如果在家/公司IP不固定？加一条“仅限阿里云内网访问”（10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）；
• 绝对！不要写0.0.0.0/0开放所有IP——那是给黑客发邀请函。

第五步：监控+日志——让防御有迹可循

做完以上，你以为就完了？不。真正的运维高手，永远在看日志。

每天早上花2分钟扫一眼：

sudo tail -20 /var/log/auth.log | grep 'Failed password'
sudo fail2ban-client status sshd | grep 'Banned IP'

再配上阿里云云监控：设置“登录失败次数/分钟 > 10”触发短信告警。当某天凌晨收到告警，你点开日志发现攻击源是俄罗斯某IDC的IP段——恭喜，你已从小白进化成带哨兵的城主。

最后送一句血泪忠告：所有操作务必在非生产环境验证，改完端口先测试再重启sshd，密钥配好再禁root，Fail2ban启了再删测试IP……顺序乱一步，你就得提着硬盘去机房重装系统。

安全不是一劳永逸的终点，而是一次次把门栓拧紧、把锁芯升级、把监控调亮的日常。你的服务器不欠你什么，但它值得被认真对待——毕竟，互联网从不睡懒觉，黑客也不放假。