服务器被入侵？一个简单的SSH安全配置能挡住90%的扫描

公网服务器每天被扫描是常态，几个基础配置能挡住大部分攻击。

禁掉密码登录

/etc/ssh/sshd_config 加 PasswordAuthentication no，重启 sshd。改成密钥登录后密码爆破直接歇菜。

改端口禁 root

默认 22 端口每天扫描记录上百条。改高位端口配合 PermitRootLogin no。root 禁用后用普通用户 sudo。

Fail2ban

apt install fail2ban 自动封禁连续认证失败的 IP，开箱即用。

UFW 只开必要端口

sudo ufw default deny incoming，只放行 SSH、80、443。