1. 修改默认SSH端口（最基础但最有效）

默认的22号端口就像您家大门上贴着"请从这里入侵"的告示。通过编辑/etc/ssh/sshd_config文件，修改Port参数为1024-65535之间的任意数值，就能立即过滤掉90%的自动化攻击脚本。

2. 密钥认证替代密码登录

彻底摆脱密码的脆弱性！使用ssh-keygen生成RSA密钥对，将公钥上传至服务器~/.ssh/authorized_keys文件，然后在配置文件中设置PasswordAuthentication no。这相当于为您的服务器装上了生物识别锁。

3. Fail2Ban - 智能防御系统

这个神奇的守护进程会实时监控认证日志，自动封禁可疑IP。安装后配置/etc/fail2ban/jail.local，设置合理的重试次数和封禁时间，就像雇佣了一位不知疲倦的保安。

4. 双因素认证加固

Google Authenticator等工具能为SSH登录添加时间型动态验证码。即使攻击者获取了您的密码，没有手机上的动态码也无法登录，这相当于为您的服务器加装了银行级安全防护。

5. TCP Wrappers精细控制

通过/etc/hosts.allow和/etc/hosts.deny文件，您可以实现：
- 仅允许特定IP段访问
- 拒绝整个国家/地区的连接
- 按工作日时间限制访问
这就像为您的服务器安装了智能门禁系统。

6. 防火墙规则优化

使用iptables或firewalld创建精细的过滤规则：
iptables -A INPUT -p tcp --dport 你的SSH端口 -m conntrack --ctstate NEW -m recent --set
iptables -A INPUT -p tcp --dport 你的SSH端口 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
这套组合拳能有效遏制暴力尝试。

7. 定期审计与更新

安全不是一劳永逸的工作。建议：
- 每月检查/var/log/auth.log
- 启用SELinux加强隔离
- 及时应用yum update安全补丁
- 使用lynis进行安全审计

进阶技巧：端口敲门(Port Knocking)

这是一种隐蔽性极强的防御方式：只有按特定顺序"敲门"（访问预设端口序列），SSH端口才会临时开放。配置示例：
knockd -d -i eth0 -c /etc/knockd.conf