在現代的服務器管理和遠程桌面操作中,安全殼協議(SSH, Secure Shell)是不可或缺的工具。對於廣受歡迎的Linux發行版Ubuntu而言,啟動SSH服務是實現遠程管理、文件傳輸以及執行遠程命令的基礎。本文將深入探討在Ubuntu系統上如何全面地安裝、配置、啟動以及管理SSH服務,並提供必要的安全建議,確保您的遠程連接既方便又安全。
什麼是SSH?以及為何在Ubuntu上啟動它?
SSH 是一種加密的網絡協議,它允許兩台計算機之間通過不安全的網絡進行安全的通信。簡單來說,它為遠程登錄和遠程命令執行提供了一個安全的通道。與傳統的Telnet等不安全協議不同,SSH對所有傳輸的數據進行加密,有效防止了信息竊聽和篡改。
在Ubuntu系統上啟動SSH服務,通常意味着您需要:
- 從遠程計算機管理Ubuntu服務器或桌面系統。
- 通過SCP(Secure Copy Protocol)或SFTP(SSH File Transfer Protocol)安全地傳輸文件。
- 無需物理接觸,即可在遠程Ubuntu機器上運行命令、安裝軟件或配置服務。
- 作為跳板機,通過SSH隧道訪問內部網絡資源。
無論是搭建網站、部署應用,還是進行日常的系統維護,SSH都是Ubuntu用戶不可或缺的利器。
在Ubuntu上安裝OpenSSH服務器
在Ubuntu上啟動SSH服務的第一步,是確保OpenSSH服務器端程序已經安裝。OpenSSH是SSH協議的免費開源實現,廣泛應用於各類Linux發行版。
1. 更新軟件包列表
在安裝任何新軟件之前,始終建議更新系統的軟件包列表,以確保您獲取的是最新版本的軟件包信息:
sudo apt update
2. 安裝OpenSSH服務器
執行以下命令來安裝OpenSSH服務器:
sudo apt install openssh-server
系統可能會提示您確認安裝,輸入 Y 並按回車鍵即可。
3. 驗證SSH服務狀態
安裝完成後,OpenSSH服務通常會自動啟動。您可以通過以下命令檢查其運行狀態:
systemctl status ssh
如果服務正在運行,您會看到類似於 Active: active (running) 的輸出。如果狀態顯示為 inactive,則需要手動啟動。
啟動與管理SSH服務
即使服務已經安裝,了解如何手動啟動、停止、重啟以及配置SSH服務在系統啟動時自動運行,對於日常管理至關重要。
1. 啟動SSH服務
如果SSH服務未運行,您可以使用以下命令啟動它:
sudo systemctl start ssh
2. 停止SSH服務
當您需要維護或暫時禁用SSH訪問時,可以停止服務:
sudo systemctl stop ssh
3. 重啟SSH服務
在修改了SSH配置文件后,通常需要重啟服務以使更改生效:
sudo systemctl restart ssh
4. 配置SSH服務開機自啟動
為了確保您的Ubuntu系統在每次啟動后都能提供SSH服務,您應該啟用其開機自啟動功能:
sudo systemctl enable ssh
這將創建一個符號鏈接,確保SSH服務在系統啟動時被自動加載。
5. 禁用SSH服務開機自啟動
如果出於安全或其他考慮,您不希望SSH服務隨系統啟動,可以使用以下命令禁用:
sudo systemctl disable ssh
配置SSH服務 (安全性與端口)
雖然默認配置足以啟動SSH,但為了提高安全性並滿足特定需求,您可能需要修改OpenSSH服務器的配置文件 /etc/ssh/sshd_config。
1. 編輯SSH配置文件
使用您喜歡的文本編輯器(如Nano或Vim)打開配置文件:
sudo nano /etc/ssh/sshd_config
2. 常用配置項
a. 修改SSH默認端口 (強烈推薦)
默認的SSH端口是22。為了增加安全性,避免常見的端口掃描攻擊,建議將其修改為一個不常用的端口號(如2222, 22022等)。找到以下行並取消註釋(如果被註釋),然後修改端口號:
#Port 22修改為:
Port 2222
請記住您設置的新端口號,因為在連接時需要指定它。
b. 禁用Root用戶登錄 (強烈推薦)
直接允許root用戶通過SSH登錄存在安全風險。建議創建一個普通用戶進行登錄,然後使用 sudo 命令執行需要root權限的操作。找到以下行並修改:
#PermitRootLogin prohibit-password修改為:
PermitRootLogin no
或者,更安全的選項是使用密鑰認證並禁用密碼登錄:
PermitRootLogin yes(如果使用密鑰認證,此項可保持)並確保
PasswordAuthentication no(如果使用密鑰認證)
c. 禁用密碼認證 (更高級的安全性,推薦使用密鑰認證)
使用SSH密鑰對進行認證比密碼認證更加安全。如果您已經設置了SSH密鑰認證,可以禁用密碼認證:
#PasswordAuthentication yes修改為:
PasswordAuthentication no
d. 允許或拒絕特定用戶登錄
您可以指定哪些用戶可以或不能通過SSH登錄。例如:
- 僅允許
your_user和admin_user登錄: - 拒絕
guest_user登錄:
AllowUsers your_user admin_user
DenyUsers guest_user
3. 保存並重啟SSH服務
完成配置文件修改後,保存文件並退出編輯器。然後重啟SSH服務以應用更改:
sudo systemctl restart ssh
如果配置有誤,SSH服務可能無法啟動。您可以使用 sudo systemctl status ssh 或 sudo journalctl -xe | grep sshd 來檢查錯誤日誌。
配置防火牆 (UFW)
Ubuntu默認自帶了Uncomplicated Firewall (UFW),它是一個用戶友好的iptables前端。為了允許外部連接到SSH服務,您需要配置UFW以放行SSH端口。
1. 檢查UFW狀態
首先,檢查UFW是否啟用:
sudo ufw status
如果顯示 Status: inactive,則UFW未啟用。
2. 允許SSH連接
如果您使用的是SSH默認端口22,可以直接允許SSH服務:
sudo ufw allow ssh
如果您修改了SSH端口(例如2222),則需要明確指定端口號:
sudo ufw allow 2222/tcp
3. 啟用UFW (如果未啟用)
如果您之前未啟用UFW,現在可以啟用它。請注意,啟用UFW會立即生效,確保您已允許SSH端口,以免將自己鎖定在服務器之外:
sudo ufw enable
系統會提示您確認,輸入 Y 並回車。
4. 再次檢查UFW狀態
確認SSH規則已被添加且UFW已啟用:
sudo ufw status
您應該能看到 Status: active 並且 22/tcp (SSH) 或您自定義的端口處於 ALLOW 狀態。
測試SSH連接
SSH服務和防火牆都配置好之後,是時候測試連接了。
1. 從本地測試 (在Ubuntu本機上)
您可以嘗試從Ubuntu本機連接到SSH服務,以確認服務是否正常運行:
ssh your_username@localhost
如果連接成功,說明SSH服務正常監聽。
2. 從遠程計算機測試
在另一台電腦(無論是Linux、macOS還是Windows,需要安裝SSH客戶端,Windows 10/11自帶)上,使用以下命令連接到您的Ubuntu系統:
ssh your_username@your_ubuntu_ip_address
如果您修改了SSH端口,則需要指定端口號:
ssh -p 2222 your_username@your_ubuntu_ip_address
首次連接時,系統會提示您確認服務器的RSA指紋,輸入 yes 並回車。然後輸入您的用戶密碼即可登錄。
恭喜!您已成功在Ubuntu上啟動並配置了SSH服務,現在可以安全地進行遠程管理了。
常見問題 (FAQ)
Q: 如何查找我的Ubuntu服務器的IP地址?
A: 您可以在Ubuntu系統上打開終端,輸入命令 ip a 或 ifconfig(如果未安裝,請安裝 net-tools 包)來查看當前網絡的IP地址。通常,您會看到一個類似於 inet 192.168.1.100/24 的地址,這就是您的局域網IP。如果是雲服務器,其公網IP由服務提供商分配。
Q: 為何我無法從遠程連接到Ubuntu的SSH服務?
A: 常見原因包括:SSH服務未運行(使用 systemctl status ssh 檢查);防火牆(如UFW)未放行SSH端口(使用 sudo ufw status 檢查並允許);IP地址或端口號輸入錯誤;網絡路由問題(如路由器端口轉發未設置);或SSH配置文件中存在錯誤導致服務無法啟動。
Q: 如何更改SSH默認的22端口?
A: 編輯 /etc/ssh/sshd_config 文件,找到 #Port 22 一行,將其修改為所需的端口號(例如 Port 2222),並刪除行首的註釋符 #。保存文件后,使用 sudo systemctl restart ssh 重啟SSH服務。如果UFW已啟用,請務必使用 sudo ufw allow 新端口號/tcp 命令放行新端口。
Q: 我是否可以將Root用戶通過SSH登錄?為何不推薦?
A: 儘管可以在 /etc/ssh/sshd_config 中設置 PermitRootLogin yes 允許Root用戶登錄,但強烈不推薦這樣做。Root用戶擁有系統最高權限,如果其密碼泄露或被破解,攻擊者將完全控制您的系統。最佳實踐是創建普通用戶登錄,然後使用 sudo 命令執行管理任務。
Q: 如果我的SSH客戶端沒有 ssh 命令怎麼辦?
A: 如果您在客戶端機器(比如另一台Linux或macOS)上嘗試使用 ssh 命令但提示找不到,這意味着您可能沒有安裝SSH客戶端。在Debian/Ubuntu系系統上,您可以通過 sudo apt install openssh-client 來安裝。macOS和Windows 10/11通常自帶SSH客戶端。
