除了防火牆和 RSA 密鑰之外，還有其他方法可以保護 SSH 連接嗎？

有時我沒有靜態 IP，需要遠端管理我的 Web 伺服器。我正在尋找可以添加的任何額外保護層，以使打開埠 22 更安全。

目前我已禁用通過 SSH 的 root 密碼登錄。它需要 RSA 密鑰才能登錄（私鑰儲存在 USB 智能卡上）。

如果埠 22 向公眾開放，我的配置是否存在任何已知風險？除了 22 埠，iptables 只有 80 和 443 埠對外開放。

我正在使用 Windows 電腦通過 Putty 連接到 Centos 6 Linux。

是否有任何其他語句可以添加到防火牆或 SSH 配置中，以進一步限制對埠 22 的訪問僅限於我的特定電腦，以便該埠不會對掃描埠的人開放？我目前正在使用 iptables 作為防火牆。

您現有的配置似乎非常安全。但是，您可以使用其他東西來限制訪問。

埠敲門可用於在大部分時間保持埠關閉。這是使用iptables. 有可以使用的守護程序，或者可以按照Shorewall 文件iptables中的描述完全實現規則。

如果啟用了 tcp 包裝器。每當遠端連接到deamon. 第一條規則讓本地連接靜默工作，適當調整 IP 地址範圍。第二條規則阻止來自與多個國家 TLD 反向的地址的訪問，並為每個成功的連接發送一封電子郵件。如果您不使用 Port Knocking，它可能會很吵。

sshd :          10.0.0.0/8 192.168.0.0/24 

sshd :          ALL \
           EXCEPT .ar .au .br .by .cl .co .cz .do .eg .gt \
               .id .il .in .jp .ma .mx .nl .pe .pk .pl .pt \
               .ro .rs .ru .sa .sg .tr .tw .ua .vn .za \
               .ae .at .bg .gh .hr .hu .ke .kz .lt .md \
               .my .no .sk .uy .ve : \
           spawn (/bin/echo "SSH connection to %N from %n[%a] allowed" | \
               /usr/bin/mailx -s "SSH Allowed" you@example.com)

fail2ban規則可用於將試圖暴力破解您的伺服器的主機臨時列入黑名單。當我將 ssh 暴露在網際網路上時，我偶爾會看到嘗試。

引用自：https://unix.stackexchange.com/questions/81808