uos系统ssh安全加固需执行五项操作：一、禁用root直登；二、修改默认端口；三、启用密钥认证并禁用密码登录；四、限制允许登录用户；五、配置faillock登录失败锁定策略。

如果您需要通过SSH远程登录UOS终端，但未对SSH服务进行安全加固，则可能面临弱口令爆破、未授权访问或中间人攻击等风险。以下是针对UOS系统中OpenSSH服务实施安全配置的具体操作步骤：

一、禁用root用户直接SSH登录

禁止root账户通过SSH直接登录可显著降低因root密码泄露导致的系统完全失陷风险，强制使用普通用户登录后再切换权限，形成操作审计基础。

1、使用文本编辑器打开SSH主配置文件：sudo nano /etc/ssh/sshd_config

2、定位到PermitRootLogin配置项，将其值修改为：PermitRootLogin no

3、保存文件并退出编辑器。

4、重启SSH服务使配置生效：sudo systemctl restart sshd

二、更改默认SSH端口

将SSH监听端口从默认的22改为非标准高位端口（如2222），可减少自动化扫描工具的命中率，属于基础层面的隐蔽性防护措施。

1、编辑SSH配置文件：sudo nano /etc/ssh/sshd_config

2、取消Port 22行的注释，并在其下方新增一行：Port 2222

3、确保防火墙放行新端口：sudo ufw allow 2222/tcp

4、禁用旧端口22的入站规则（如有）：sudo ufw deny 22/tcp

5、重启SSH服务：sudo systemctl restart sshd

三、启用密钥认证并禁用密码登录

基于公私钥对的身份验证比密码认证更难被暴力破解，且支持多因素组合；禁用密码登录后，仅允许持有有效私钥的客户端建立连接。

1、在客户端生成密钥对（如尚未生成）：ssh-keygen -t ed25519 -C "uos-admin"

2、将公钥复制至UOS服务器的指定用户家目录：ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2222 username@server_ip

3、登录UOS服务器，编辑SSH配置：sudo nano /etc/ssh/sshd_config

4、设置以下两项参数：PubkeyAuthentication yes 和 PasswordAuthentication no

5、重启SSH服务：sudo systemctl restart sshd

四、限制SSH登录用户范围

通过显式声明允许登录的用户列表，可防止非法创建的低权限账户被用于SSH接入，缩小潜在攻击面。

1、编辑SSH配置文件：sudo nano /etc/ssh/sshd_config

2、在文件末尾添加允许用户行：AllowUsers user1 user2（替换为实际用户名，多个用户以空格分隔）

3、如需按组限制，可改用：AllowGroups sshusers，并确保目标用户已加入该组：sudo usermod -aG sshusers username

4、重启SSH服务：sudo systemctl restart sshd

五、配置登录失败锁定策略

利用faillock机制对连续失败的SSH登录尝试实施临时封禁，可有效遏制暴力破解行为，提升账户层防御强度。

1、启用PAM faillock模块：sudo pam-auth-update --enable faillock

2、编辑faillock配置文件：sudo nano /etc/security/faillock.conf

3、确认以下参数已设置：deny = 5（5次失败后锁定）、unlock_time = 900（15分钟自动解锁）

4、验证faillock是否对sshd生效：grep "auth.*pam_faillock.so" /etc/pam.d/sshd，确保存在对应行

5、重启SSH服务：sudo systemctl restart sshd