禁用root用户登录

#创建一个可切换root的账户
useradd -m hsu
passwd hsu
usermod -aG sudo hsu
# 修改配置文件
cat /etc/ssh/sshd_config
# Authentication: 
#LoginGraceTime 2m 
PermitRootLogin no 
AllowUsers hsu

更改默认端口

#修改默认端口22 
cat  /etc/ssh/sshd_config
Include /etc/ssh/sshd_config.d/*.conf
Port 22333

禁止使用空白密码的用户访问

# 修改配置sshd_config
PermitEmptyPasswords no

限制登录/访问尝试

#修改配置sshd_config
MaxAuthTries 3

使用 SSH 版本2
SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下，您可以通过将Protocol参数添加到sshd_config文件来启用服务器使用第二个版本。这样，您未来的所有连接都将使用第二个版本的 SSH。

修改配置

Include /etc/ssh/sshd_config.d/*.conf 
Protocol 2

关闭TCP端口转发和X11转发
攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统。为了防止这种情况，您可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能。

X11Forwarding no 
AllowTcpForwarding no

使用 SSH 密钥连接
连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可访问服务器。另外，您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时，有两个密钥：Public和Private。公钥将上传到您要连接的服务器，而私钥则存储在您将用来建立连接的计算机上。

在您的计算机上使用ssh-keygen命令创建 SSH 密钥。不要将密码短语字段留空并记住您在此处输入的密码。如果将其留空，您将只能使用 SSH 密钥文件访问它。但是，如果您设置了密码，则可以防止拥有密钥文件的攻击者访问它。例如，您可以使用以下命令创建 SSH 密钥：

ssh-keygen

SSH 连接的 IP 限制
增强安全保护，打开/etc/hosts.allow文件。通过对该文件进行的添加，您可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

vim /etc/hosts.allow
sshd:192.168.1.0/24:ALLOW #添加你常用的IP

保存后重启ssh服务：

systemctl restart sshd