SSH是管理Linux服務器的主要方式，運維人員通過SSH客戶端工具遠程登錄服務器進行日常操作，管理非常方便，無需去現(xiàn)場維護。因此幾乎每臺Linux服務器都開啟了SSH服務，默認使用22端口。這就給不法分子提供了可趁之機，他們采用暴力破解或撞庫的方式，通過SSH登錄，破解系統(tǒng)賬戶密碼。同時Linux系統(tǒng)也可能出現(xiàn)與SSH有關的系統(tǒng)漏洞，黑客可以通過這些漏洞在服務器執(zhí)行任意代碼，直接入侵服務器。

SSH雖然方便，但存在一定的安全風險。如果不是必須使用SSH功能，建議關閉SSH服務。如果必須使用SSH，建議設置復雜的密碼，長度超過20位，包含數(shù)字、大小寫字母和特殊符號。同時做好密碼保護，防止密碼泄露導致服務器被輕易非法登錄。如果可以，最好對SSH端口做一些必要的安全防護，例如限制登錄客戶端IP，只有授權的IP才能登錄。

如果你使用的云主機，建議采用VNC登錄（即通過云主機控制臺以網(wǎng)頁方式SSH登錄服務器），注意務必在安全組關閉SSH端口。

阿里云VNC登錄云主機方法：

在“阿里云官網(wǎng)-控制臺-產(chǎn)品與服務-云服務器ECS”，進入實例詳情，點擊“遠程連接”，選擇“展開其他登錄方式”，選擇“通過VNC遠程連接”，點擊“立即登錄”，就可以登錄服務器了�。ㄈ缦聢D一）

（圖一：阿里云VNC登錄）

騰訊云VNC登錄云主機方法：

在“騰訊云官網(wǎng)-控制臺-云服務器-實例”，點擊“登錄”，選擇“其他登錄方式 VNC登錄” ，就可以登錄服務器了�。ㄈ缦聢D二）

（圖二：騰訊云VNC登錄）

物理服務器可以使用VNC登錄嗎？

理論上是可以的，但實際沒什么IDC廠商支持。幸運的是，有類似的解決辦法，讓你也可以通過網(wǎng)頁登錄SSH。需要安裝《護衛(wèi)神.主機大師》，安裝后在面板左側導航有一個“SSH管理”的功能（如下圖三），在里面添加登錄信息，主機地址填寫：127.0.0.1，即本機。就可以通過網(wǎng)頁登錄服務器了。注意務必在防火墻關閉SSH端口。后期每次登錄服務器，都需要先進入面板，再SSH登錄。

（圖三：通過網(wǎng)頁方式SSH登錄）

如果不想安裝面板，如何提升SSH安全呢？

這就需要使用第三方軟件來實現(xiàn)了。推薦使用《護衛(wèi)神.防入侵系統(tǒng)》，因為對SSH有非常多的防護模塊，例如：在線開關SSH服務、限制終端IP區(qū)域、限制登錄時間、防護暴力破解、SSH登錄消息通知，如下圖四。

（圖四：Linux服務器SSH防護）

·遠程桌面服務

可以在線開關SSH服務。平常不使用SSH時，關閉掉此服務，杜絕黑客以此入侵。需要時再開啟。非常方便，無需擔心開啟不方便的難題（如果沒有在線開關功能，一般只能由機房工作人員接顯示器登錄服務器開啟）。

·終端IP/區(qū)域防護

非常推薦的功能！限制SSH客戶端的IP地址或區(qū)域。建議設置只允許您所在城市才能SSH登錄，解決家庭寬帶沒有固定IP，無法限制客戶端IP的難題。如上圖四設置的，只允許成都地區(qū)SSH登錄服務器，其他地區(qū)無法連接SSH端口，即使SSH存在漏洞，黑客也沒法利用。黑客和你同所城市的幾率非常低，因為他們?yōu)榱瞬槐凰菰�，都會使用國外服務器做跳板發(fā)起攻擊。

·遠程時間防護

限制SSH開放的時間，例如只在上班時間開放，下班時間自動關閉SSH。

·暴力破解防護

防止黑客對SSH進行暴力破解攻擊和撞庫攻擊。一旦發(fā)現(xiàn)異常連接，立即鎖定客戶端IP，阻止黑客暴破行為。

·登錄消息通知

SSH登錄成功和失敗都會立即發(fā)送消息通知，讓運維人員及時發(fā)現(xiàn)非法登錄，省心運維。通知效果如下圖五，支持短信、微信和郵件三種方式。

（圖五：SSH登錄立即發(fā)送消息通知）

總的來說，Linux服務器離不開SSH，雖然也存在一定風險，但只要按上述方法部署了防護，安全將不再是問題！