发布日期：2026年5月20日

FRP穿透SSH实现远程服务器管理：安全配置最佳实践

SSH是服务器远程管理的标准协议，通过FRP穿透SSH服务，运维人员可以在任何地点安全地管理内网中的服务器。相比传统的端口映射或VPN方案，FRP穿透SSH更加灵活便捷——无需配置复杂的VPN客户端，无需在路由器上做端口映射，只需在内网服务器上运行frpc客户端即可。但SSH作为服务器的"大门"，安全性至关重要，本文将详细介绍如何安全地配置FRP穿透SSH。

一、SSH穿透配置步骤

在frpc.ini中添加SSH穿透配置块：[ssh] type=tcp local_ip=127.0.0.1 local_port=22 remote_port=6000。这里local_port=22指向本机的SSH服务端口，remote_port=6000是在frps服务器上开放的端口。配置完成后启动frpc，即可通过ssh -p 6000 user@frps服务器IP 连接内网服务器。建议将remote_port设置为非常规端口（非22），可以减少自动化扫描工具的探测。

二、SSH安全加固措施

在暴露SSH到公网前，务必对SSH服务进行安全加固。编辑/etc/ssh/sshd_config：将PermitRootLogin设置为no禁止root直接登录；将PasswordAuthentication设置为no强制使用密钥认证；将Port修改为非22端口增加隐蔽性。生成SSH密钥对并将公钥添加到~/.ssh/authorized_keys中。安装fail2ban工具，自动封禁多次登录失败的IP地址，防止暴力破解攻击。这些措施叠加使用，可以大幅提升SSH服务的安全性。

三、进阶安全策略

对于更高安全要求的场景，可以考虑使用STCP（Secret TCP）协议类型。STCP在TCP基础上增加了预共享密钥验证，只有知道密钥的客户端才能连接穿透服务。配置方法：服务端type=stcp并设置sk密钥，访问端使用frpc命令的stcp代理模式连接。另一个策略是限制SSH穿透服务的可用时间——仅在需要远程管理时启动frpc，完成操作后立即停止，最小化暴露窗口。也可以配合frps的dashboard监控面板，实时关注SSH连接情况，发现异常及时处理。