一次暴力破解告警引发的反思

某团队的运维工程师周一早上登录云控制台，发现安全组告警：过去48小时内，服务器22端口遭受了超过12万次SSH暴力破解尝试。排查后发现，一位同事此前用Xshell通过密码方式直连服务器，且使用的是默认22端口，密码仅为8位纯数字。

这不是个例。根据Shadowserver基金会的监测数据，暴露在公网的SSH服务每天平均承受数千次自动化撞库攻击。很多人搜索"xshell连接linux教程"时，只关心"怎么连上"，却忽略了"怎么安全地连上"。这篇教程的目标，就是把这两件事一次讲透。

基础连接：用Xshell建立SSH会话的正确步骤

以Xshell 8（Build 0137，2024年发布）为例，建立一个基本连接的流程如下：

1. 打开Xshell，点击左上角「新建」会话按钮（或快捷键 Alt+N）。 2. 在「连接」选项卡中，协议选择 SSH，填入服务器公网IP地址，端口填写你实际配置的SSH端口（默认22，建议修改，后文会讲）。 3. 切换到「用户身份验证」选项卡，输入用户名。认证方式先选择 Password 完成首次测试连接。 4. 点击「连接」，首次连接时会弹出主机密钥指纹确认窗口——务必核对指纹是否与服务器端一致，不要无脑点击「接受」。

连接成功后，你会看到Linux的命令行提示符。但到这一步只是"能用"，远不是"可用于生产环境"。

一个常见故障场景：点击连接后长时间无响应，最终提示 `Connection timed out`。排查路径如下：

- 确认服务器安全组/防火墙是否放行了对应端口（云服务器最常见的原因）。 - 在本地执行 `telnet `，测试端口是否可达。 - 检查服务器端SSH服务状态：`systemctl status sshd`，确认服务正在运行。 - 如果使用了非标准端口，确认Xshell会话中填写的端口号与服务器 `/etc/ssh/sshd_config` 中的 `Port` 配置一致。

安全加固：密钥认证与端口策略

密码认证是SSH最薄弱的环节。xshell连接linux教程中最值得你花时间的部分，就是切换到密钥认证并关闭密码登录。

生成密钥对的操作：

1. 在Xshell菜单栏选择「工具 → 新建用户密钥生成向导」。 2. 密钥类型选择 ED25519（比RSA更短的密钥长度、更高的安全性），设置一个强密码短语（passphrase）保护私钥。 3. 生成完成后，将公钥内容复制，粘贴到服务器的 `~/.ssh/authorized_keys` 文件中。注意该文件权限必须为600，`.ssh` 目录权限为700。 4. 回到Xshell会话属性，将认证方式改为 Public Key，选择刚才生成的密钥。

完成密钥配置后，编辑服务器端 `/etc/ssh/sshd_config`，做以下加固：

``` Port 58222 # 改为高位非标准端口 PermitRootLogin no # 禁止root直接登录 PasswordAuthentication no # 关闭密码认证 MaxAuthTries 3 # 最大认证尝试次数 Protocol 2 # 仅使用SSHv2协议 ```

修改后执行 `systemctl restart sshd` 生效。改端口前，请确保新端口已在防火墙和安全组中放行，否则你会把自己锁在门外。

另一个实战故障：密钥配置完成后连接提示 `Permission denied (publickey)`。逐项检查：

- 服务器端 `authorized_keys` 中的公钥是否完整（复制时容易截断或多出换行符）。 - 文件权限是否正确：`chmod 600 ~/.ssh/authorized_keys && chmod 700 ~/.ssh`。 - Xshell中选择的私钥是否与服务器上的公钥配对。 - 查看服务器端详细日志：`tail -f /var/log/secure`（CentOS）或 `tail -f /var/log/auth.log`（Ubuntu）。

会话管理中的隐私保护与数据清理

Xshell在本地会保存会话文件、日志记录和主机密钥缓存，这些数据如果管理不当，可能成为安全隐患——尤其在共用电脑或离职交接场景下。

几个需要注意的点：

- 会话文件存储路径默认在 `%APPDATA%\NetSarang Computer\8\Xshell\Sessions`，其中可能包含明文保存的用户名。定期审查该目录，删除不再使用的会话。 - Xshell支持会话密码的主密码（Master Password）保护功能，在「工具 → 选项 → 安全」中开启。启用后，每次打开Xshell需要输入主密码才能访问已保存的凭据。 - 如果开启了日志记录功能（会话属性 → 日志），日志文件中可能包含敏感命令输出。建议将日志路径设置到加密分区，并定期清理。 - 在「工具 → 选项 → 安全」中，可以设置在Xshell退出时自动清除已知主机密钥缓存，防止他人通过缓存推断你管理过哪些服务器。

对于需要满足等保或ISO 27001合规要求的团队，建议将Xshell的会话配置纳入统一的配置管理，避免各人本地保存不同版本的连接信息。

常见问题FAQ

**Q1：Xshell连接Linux时中文显示乱码怎么解决？**

在会话属性中找到「终端 → 编码」，将编码改为 UTF-8。同时确认服务器端的locale设置：执行 `locale` 命令，确认 `LANG` 值为 `en_US.UTF-8` 或 `zh_CN.UTF-8`。如果不是，编辑 `/etc/locale.conf` 写入 `LANG="en_US.UTF-8"` 后重新登录。

**Q2：免费版Xshell有什么限制？能用于生产环境吗？**

Xshell提供"Home & School"免费授权版本，限制最多同时打开4个标签页，且仅限非商业用途。生产环境中使用免费版存在许可合规风险。如果团队预算有限，可以评估开源替代方案如OpenSSH命令行客户端或Tabby Terminal，但需自行承担功能差异和维护成本。

总结

一份合格的xshell连接linux教程不应该止步于"填IP、输密码、点连接"。从密钥认证替代密码登录，到SSH端口与协议加固，再到本地会话数据的隐私清理，每一步都直接关系到服务器的安全边界。

如果你正在管理多台Linux服务器，建议现在就花20分钟完成密钥认证的切换，并关闭密码登录。这一个动作能挡住绝大多数自动化暴力破解攻击。前往 NetSarang官网（www.netsarang.com）下载最新版Xshell，按照本文步骤逐项配置，把安全基线落到实处。

相关阅读：xshell连接linux教程使用技巧，下一代安全终端Xshell 8