修改SSH端口可降低暴力破解风险,需编辑/etc/ssh/sshd_config文件,将Port 22改为非常见端口(如22222),保存后在防火墙放行新端口(ufw或firewalld),重启SSH服务并新终端测试连接成功后再关闭原会话,建议禁用root登录、启用密钥认证、限制用户访问,并选择1024-65535间未被占用的端口。
修改SSH端口是Linux系统安全加固的重要一步,能有效减少暴力破解攻击。直接暴露默认的22端口容易被自动化扫描工具盯上,改用非常见端口可提升安全性。操作简单但需谨慎,避免配置错误导致无法远程登录。
1. 编辑SSH服务配置文件
SSH服务的配置文件位于/etc/ssh/sshd_config,使用文本编辑器打开:
sudo nano /etc/ssh/sshd_config
找到#Port 22这一行(默认被注释),去掉前面的#号,并将22改为想要的新端口号,例如:
Port 22222
可保留22端口同时监听多个端口(不推荐长期使用):
- Port 22
- Port 22222
保存并退出编辑器(nano按Ctrl+O回车,Ctrl+X退出)。
2. 防火墙放行新端口
修改端口后必须在防火墙中开放该端口,否则连接会被阻止。
若使用ufw(Ubuntu常用):
sudo ufw allow 22222
若使用firewalld(CentOS/RHEL常用):
sudo firewall-cmd --permanent --add-port=22222/tcp
sudo firewall-cmd --reload
3. 重启SSH服务并测试连接
应用配置前先确保本地或控制台能访问服务器,防止断连。
重启SSH服务:
- Ubuntu/Debian:sudo systemctl restart ssh
- CentOS/RHEL:sudo systemctl restart sshd
不要立即关闭当前会话。新开一个终端,测试新端口是否可用:
ssh username@your_server_ip -p 22222
连接成功后再关闭旧会话。确认无误可考虑禁用22端口。
4. 安全建议与注意事项
仅改端口不能完全防攻击,建议配合以下措施:
- 禁止root直接登录(PermitRootLogin no)
- 使用密钥认证替代密码
- 限制允许登录的用户(AllowUsers)
- 定期查看日志/var/log/auth.log排查异常
端口号建议选在1024-65535之间,避免使用敏感或已被占用的端口。
基本上就这些,操作不复杂但容易忽略防火墙或测试环节,务必一步步来。
