Ubuntu与CentOS在SSH连接上存在显著差异,核心在于包管理器(apt vs yum/dnf)、默认安全策略(UFW vs firewalld)及系统初始化服务(systemd单元配置)的不同,2026年主流运维实践建议优先采用密钥认证并严格限制Root远程登录。
随着Linux服务器生态的演变,CentOS 8停更后,生态出现了Ubuntu Server与Rocky Linux/AlmaLinux的分流,尽管两者底层均基于Linux内核,但在通过SSH进行远程管理时,配置逻辑与安全加固路径截然不同,理解这些差异,是构建高可用、高安全云基础设施的第一步。
环境差异与核心配置逻辑
包管理与依赖安装
Ubuntu基于Debian体系,使用`apt`包管理器;而CentOS系列(包括RHEL衍生版)基于Red Hat体系,使用`dnf`或`yum`,这一根本差异决定了OpenSSH服务端(sshd)的安装与更新方式。- Ubuntu操作:
sudo apt update && sudo apt install opensshserver - CentOS操作:
sudo dnf install opensshserver或sudo yum install opensshserver
默认防火墙策略对比
SSH默认端口为22,在开放端口前,必须确保防火墙规则允许该流量,2026年的安全最佳实践要求最小化端口暴露。| 特性 | Ubuntu Server (24.04 LTS) | CentOS Stream / Rocky Linux 9 |
|---|---|---|
| 默认防火墙工具 | UFW (Uncomplicated Firewall) | firewalld |
| 启用SSH规则命令 | sudo ufw allow ssh | sudo firewallcmd permanent addservice=ssh |
| 重载生效命令 | sudo ufw reload | sudo firewallcmd reload |
| 状态查看命令 | sudo ufw status | sudo firewallcmd listall |
服务管理差异
两者均使用systemd,但服务名称和状态查询习惯略有不同。- Ubuntu:服务名为
ssh,命令:sudo systemctl status ssh - CentOS:服务名为
sshd,命令:sudo systemctl status sshd
2026年SSH安全加固实战指南
根据中国网络安全等级保护2.0(等保2.0)及NIST SP 80053最新指南,基础SSH配置已不足以应对高级持续性威胁(APT),以下是针对Ubuntu和CentOS的标准化加固步骤。
禁用密码登录,强制密钥认证
密码爆破是SSH攻击的主要入口,2026年,任何生产环境都应默认禁用密码认证。- 编辑配置文件:
sudo nano /etc/ssh/sshd_config(Ubuntu)或sudo vi /etc/ssh/sshd_config(CentOS)。 - 修改关键参数:
PasswordAuthentication noPermitRootLogin no(严禁Root直接远程登录)PubkeyAuthentication yes
- 重启服务使配置生效:
- Ubuntu:
sudo systemctl restart ssh - CentOS:
sudo systemctl restart sshd
- Ubuntu:
变更默认端口与IP白名单
虽然“安全通过隐匿”并非绝对安全,但变更默认端口22可过滤90%以上的自动化扫描脚本。- 修改端口:在
sshd_config中设置Port 2222(示例)。 - IP白名单:
- Ubuntu:使用
/etc/hosts.allow和/etc/hosts.deny,或配置UFW规则:sudo ufw allow from 192.168.1.100 to any port 2222。 - CentOS:使用
firewalld区域功能:sudo firewallcmd permanent addrichrule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="2222" accept'。
- Ubuntu:使用
安装Fail2Ban防暴力破解
Fail2Ban通过监控日志自动封禁恶意IP,是SSH安全的最后一道防线。- 安装:
- Ubuntu:
sudo apt install fail2ban - CentOS:
sudo dnf install fail2ban
- Ubuntu:
- 配置:复制
/etc/fail2ban/jail.conf为jail.local,设置bantime为86400秒(24小时),maxretry为3次。
常见故障排查与场景应对
连接被拒绝(Connection Refused)
这通常意味着SSH服务未运行或防火墙拦截。 * **检查服务**:确认`systemctl status ssh/sshd`显示active (running)。 * **检查端口**:使用`netstat tuln | grep 22`或`ss tuln | grep 22`确认端口监听状态。 * **云厂商安全组**:2026年,绝大多数服务器部署在AWS、阿里云或腾讯云,务必登录控制台,检查“安全组”入站规则是否放行TCP 22或自定义端口。权限被拒绝(Permission Denied)
* **密钥权限**:确保私钥文件权限为600(`chmod 600 ~/.ssh/id_rsa`)。 * **SELinux限制**:CentOS默认启用SELinux,若修改了SSH默认端口,需执行`sudo semanage port a t ssh_port_t p tcp 2222`以允许新端口通过SELinux策略,Ubuntu默认无此限制,但若启用AppArmor,需检查`/etc/apparmor.d/usr.sbin.sshd`配置。Ubuntu与CentOS在SSH配置上的差异,本质上是Debian与Red Hat两大发行版哲学差异的体现,Ubuntu倾向于开箱即用与简化配置(UFW),而CentOS系列强调严谨的策略管理(firewalld + SELinux),在2026年的运维体系中,无论选择哪种系统,密钥认证、非Root登录、Fail2ban防护都是不可妥协的安全基线,建议新用户从Ubuntu入手以快速上手,资深运维人员则可根据团队对RHEL生态的依赖程度选择CentOS衍生版。
相关问答
Q: Ubuntu和CentOS哪个更适合新手学习SSH配置? A: Ubuntu更适合新手,其UFW防火墙配置直观,社区文档丰富,且默认禁用Root登录的策略引导用户建立正确的安全习惯,学习曲线更平缓。
Q: 2026年是否还需要担心SSH协议版本漏洞? A: 需要,虽然SSHv2是默认且唯一支持的版本,但OpenSSH 9.0+引入了新的加密算法和密钥类型(如Ed25519),务必保持OpenSSH版本最新,以防御针对旧算法(如RSA1024)的潜在侧信道攻击。
Q: 如何在CentOS上快速恢复因配置错误无法SSH登录的情况? A: 通过云服务商提供的“VNC控制台”或“串行控制台”登录服务器,临时修改/etc/ssh/sshd_config为允许密码登录并重启服务,修复后再恢复安全配置。
互动引导: 你在配置SSH时遇到过最棘手的防火墙问题是什么?欢迎在评论区分享你的排查思路。
参考文献
- 中国网络安全审查技术与认证中心. 《信息安全技术 网络安全等级保护基本要求》(GB/T 222392019). 2019年发布,2026年持续有效,规定了远程管理身份鉴别与安全审计标准。
- NIST (National Institute of Standards and Technology). SP 80053 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. 2020年更新,2026年作为联邦及全球企业安全架构参考基准,涵盖AC17远程访问控制要求。
- OpenSSH Project. OpenSSH 9.8 Release Notes. 2024年发布,2026年仍为广泛部署的稳定版本,记录了Ed25519算法默认启用及协议增强细节。
- Canonical Ltd. Ubuntu Server Guide: SSH Configuration. 2026年最新文档,提供了基于UFW和AppArmor的Ubuntu安全加固最佳实践。
