笙亿网络策划

阿里云 ECS 安全组如何限制特定 IP 访问 SSH 端口?

约 2 分钟读完 32 阅
文章导读
通过在阿里云安全组入方向设置优先级为 1 的拒绝规则或仅允许特定 IP(如 10.0.0.2/32)访问 22 端口,可有效防止 0.0.0.0/0 开放带来的暴力破解风险。
📋 目录
  1. 原因分析
  2. 解决方案:安全组白名单限制
  3. 解决方案:安全组黑名单拒绝
  4. 解决方案:系统内部 hosts 限制
  5. 注意事项
  6. 参考来源
A A

通过在阿里云安全组入方向设置优先级为 1 的拒绝规则或仅允许特定 IP(如 10.0.0.2/32)访问 22 端口,可有效防止 0.0.0.0/0 开放带来的暴力破解风险。

原因分析

安全组在 ECS 使用中扮演云上虚拟防火墙角色,截至 2025 年 11 月 18 日的安全小贴士指出,运维端口如 Linux 的 SSH 22 端口若对 0.0.0.0/0 开放,相当于向整个互联网敞开大门,极易遭受暴力破解攻击。

解决方案:安全组白名单限制

登录阿里云控制台,在安全组规则页面添加入站规则,选择 SSH,指定端口 22,来源 IP 为本机 IP(如 10.0.0.2/32),保存安全组设置并将安全组绑定到 ECS 实例上。

阿里云 ECS 安全组如何限制特定 IP 访问 SSH 端口?

解决方案:安全组黑名单拒绝

在入方向快速添加规则,授权策略选择拒绝,授权对象填写要禁止的 IP(如 192.168.1.100/32),优先级设置为比允许规则更小的数字(如 1),数字越小优先级越高。

解决方案:系统内部 hosts 限制

修改/etc/hosts.allow添加sshd:192.168.2.130:allow,修改/etc/hosts.deny添加sshd:ALL,最后执行systemctl restart sshd重启服务。

阿里云 ECS 安全组如何限制特定 IP 访问 SSH 端口?

注意事项

配置优先级时需注意数字越小优先级越高;修改 hosts 文件后测试连接可能报错ssh_exchange_identification: read: Connection reset by peer;OpenSSH_7.4p1 版本需注意配置语法兼容性。

参考来源

来源:阿里云安全小贴士 - 创建 ECS 后,这 3 个配置千万别漏过(截至 2025 年 11 月 18 日)

阿里云 ECS 安全组如何限制特定 IP 访问 SSH 端口?

来源:开发者社区 - 基于 Linux 下限制指定用户或 IP 地址通过 SSH 登录(2023 年 10 月 20 日)

来源:阿里云帮助中心 - 阿里云 ecs 如何禁用 ip 的访问(2025 年 5 月 23 日)