CDNK博客
结论:在阿里云中,可以通过配置安全组规则和SSH登录限制,实现服务器只能通过固定IP地址登录,从而提升服务器的安全性。
- 阿里云ECS实例默认允许公网访问,但为了防止访问或暴力破解,建议对SSH等关键服务进行访问控制。
- 最核心的两个方法是:设置安全组规则 和 配置SSH的白名单机制。
一、使用阿里云安全组限制访问源IP
- 安全组是阿里云中最基础也是最有效的网络访问控制手段。
- 登录阿里云控制台,进入ECS管理页面,找到对应实例的安全组设置。
- 修改入方向(Inbound)规则,将SSH端口(通常是22)的源IP设置为固定的IP地址或IP段。
- 示例:若只允许IP为
192.168.1.100的机器访问,则设置源IP为192.168.1.100/32。 - 这样即使账号密码泄露,外部无法通过其他IP尝试连接服务器。
二、在Linux系统内配置SSH访问控制
- SSH服务本身也支持基于IP的访问控制,可以作为安全组之外的第二道防线。
- 编辑SSH配置文件
/etc/ssh/sshd_config,添加如下内容:AllowUsers root@192.168.1.100或者使用
tcp_wrappers控制方式,在/etc/hosts.allow中添加:sshd: 192.168.1.100 : allow在
/etc/hosts.deny中添加:sshd: ALL : deny - 这样可以做到双重保障,即使安全组配置失误,系统层面也能阻止非授权访问。
三、注意事项与建议
- 修改前务必备份相关配置文件,避免误操作导致无法登录服务器。
- 如果你是通过跳板机或X_X访问服务器,确保该跳板机的IP也被加入白名单。
- 使用弹性公网IP时,注意IP是否会发生变更,否则应绑定固定IP或使用NAT网关。
- 建议定期审查安全组规则和系统日志,监控是否有异常登录尝试。
四、额外安全建议
- 更改SSH默认端口(如改为2222),减少被扫描攻击的概率。
- 启用密钥登录并禁用密码登录,进一步提高安全性。
- 可以结合fail2ban等工具,自动封禁多次尝试失败的IP。
总结:通过合理配置阿里云安全组和Linux系统的SSH访问策略,可以有效实现“仅允许固定IP登录”的需求,显著增强服务器的安全防护能力。