保姆级教程:在Ubuntu 22.04物理机上,从开启SSH到配置IPv6防火墙的完整流程
Ubuntu 22.04物理机从SSH配置到IPv6防火墙的完整安全指南
当你拿到一台全新的Ubuntu物理机时,如何安全地配置远程访问并启用IPv6连接?本文将带你从零开始,一步步完成从系统初始化到防火墙配置的全过程。无论你是搭建家庭服务器、开发测试环境还是小型应用部署,这套流程都能确保你的设备既安全又可用。
1. 系统初始化与SSH安全配置
在开始任何远程管理之前,首先要确保系统处于最新状态。Ubuntu 22.04 LTS作为长期支持版本,提供了稳定的基础环境。
sudo apt update && sudo apt upgrade -y这个命令会更新软件包列表并升级所有可更新的软件。完成后,建议重启系统以确保所有更新生效。
接下来安装SSH服务:
sudo apt install openssh-server -y安装完成后,SSH服务会自动启动。验证服务状态:
sudo systemctl status ssh你应该看到"active (running)"的状态提示。如果没有,可以手动启动服务:
sudo systemctl enable --now ssh基础安全加固建议:
- 修改默认SSH端口(避免使用22端口)
- 禁用root用户直接登录
- 启用密钥认证替代密码登录
编辑SSH配置文件:
sudo nano /etc/ssh/sshd_config找到并修改以下参数:
Port 2222 # 自定义端口号 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes保存后重启SSH服务:
sudo systemctl restart ssh注意:修改端口前确保防火墙已放行新端口,否则可能导致无法连接
2. IPv6网络配置与验证
现代Linux发行版通常已内置IPv6支持,但仍需确认和适当配置。首先检查内核是否支持IPv6:
cat /proc/net/if_inet6如果有输出,表示系统支持IPv6。接下来查看网络接口的IPv6地址:
ip -6 addr show典型输出可能包含以下几种类型的IPv6地址:
| 地址类型 | 前缀 | 用途说明 |
|---|---|---|
| 本地回环 | ::1/128 | 仅限本机内部通信 |
| 链路本地 | fe80::/10 | 同一物理链路内的设备通信 |
| 全局单播 | 2000::/3 | 互联网通信 |
如果发现IPv6被禁用,可以检查以下配置文件:
cat /etc/sysctl.conf | grep ipv6确保没有包含net.ipv6.conf.all.disable_ipv6=1这样的禁用设置。如果需要启用IPv6:
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=0 sudo sysctl -w net.ipv6.conf.default.disable_ipv6=03. 防火墙(UFW)的双栈配置
Ubuntu自带的UFW防火墙是管理网络安全的便捷工具。首先确保UFW已安装:
sudo apt install ufw -y基本防火墙策略:
- 默认拒绝所有入站连接
- 允许特定端口的SSH访问
- 分别配置IPv4和IPv6规则
启用UFW前,务必先放行SSH端口,否则可能被锁定在外:
sudo ufw allow 2222/tcp # 对应之前修改的SSH端口对于IPv6的特殊考虑,需要明确指定协议版本:
sudo ufw allow proto tcp from any to any port 2222 # IPv4 sudo ufw allow proto tcp from any to any port 2222 comment 'SSH IPv6' # IPv6查看规则是否包含IPv6:
sudo ufw status numbered输出应该显示类似内容:
Status: active To Action From -- ------ ---- [ 1] 2222/tcp ALLOW IN Anywhere # SSH IPv4 [ 2] 2222/tcp (v6) ALLOW IN Anywhere (v6) # SSH IPv6启用防火墙:
sudo ufw enable4. 服务部署与连通性测试
为了验证IPv6连通性,我们可以部署一个简单的HTTP服务。创建一个Python测试脚本:
#!/usr/bin/env python3 from http.server import SimpleHTTPRequestHandler from socketserver import TCPServer import socket class IPv6HTTPRequestHandler(SimpleHTTPRequestHandler): def address_string(self): return str(self.client_address[0]) class IPv6TCPServer(TCPServer): address_family = socket.AF_INET6 PORT = 8080 Handler = IPv6HTTPRequestHandler with IPv6TCPServer(("::", PORT), Handler) as httpd: print(f"Serving HTTP on [::]:{PORT}") httpd.serve_forever()保存为ipv6_server.py并赋予执行权限:
chmod +x ipv6_server.py在防火墙中开放测试端口:
sudo ufw allow 8080/tcp sudo ufw allow 8080/tcp comment 'Test HTTP IPv6'启动服务:
./ipv6_server.py获取服务器的全局IPv6地址:
ip -6 addr show scope global从外部设备访问时,IPv6地址需要用方括号包裹:
http://[2409:8a00:b473:7450:6d4c:944e:d0b2:cda4]:8080/常见问题排查:
无法连接SSH:
- 检查防火墙规则是否正确
- 确认SSH服务正在运行
- 验证网络路由是否可达
IPv6无法访问:
- 确认ISP提供IPv6支持
- 检查路由器IPv6转发设置
- 验证防火墙IPv6规则
服务无响应:
- 检查服务是否绑定到IPv6地址
- 确认端口未被占用
- 查看服务日志获取错误信息
5. 高级安全配置建议
基础配置完成后,可以考虑以下增强措施:
SSH加固:
- 使用Fail2Ban防止暴力破解
- 设置连接空闲超时
- 限制用户登录权限
安装Fail2Ban:
sudo apt install fail2ban -y配置SSH保护:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo nano /etc/fail2ban/jail.local修改相关参数:
[sshd] enabled = true port = 2222 maxretry = 3 bantime = 1h防火墙优化:
- 设置默认策略为DROP而非REJECT
- 启用日志记录可疑连接
- 定期审计防火墙规则
修改UFW默认策略:
sudo ufw default deny incoming sudo ufw default allow outgoing启用日志:
sudo ufw logging onIPv6隐私扩展: 现代Linux系统默认启用IPv6隐私扩展,防止基于地址的追踪。可以验证设置:
cat /proc/sys/net/ipv6/conf/all/use_tempaddr值为2表示启用隐私扩展。
6. 自动化维护与监控
长期运行的服务器需要定期维护。设置自动安全更新:
sudo apt install unattended-upgrades -y sudo dpkg-reconfigure -plow unattended-upgrades配置日志轮转,防止日志文件过大:
sudo nano /etc/logrotate.conf添加SSH和UFW的日志管理:
/var/log/auth.log { weekly missingok rotate 4 compress delaycompress notifempty }网络连通性监控可以使用简单的cron任务:
(crontab -l 2>/dev/null; echo "*/5 * * * * ping6 -c 1 2001:4860:4860::8888 >/dev/null || echo 'IPv6 connectivity check failed'") | crontab -这个任务每5分钟检查一次IPv6网络连通性,失败时会发出警告。