我要评论引言
ssh(secure shell)是 linux 服务器远程管理的核心工具,其默认监听端口为 22。由于端口 22 众所周知,这也使得服务器容易受到自动化扫描和暴力 破解攻击。虽然更改 ssh 默认端口只是安全加固的一种辅助手段,但它能有效地降低被自动化攻击工具扫描的风险。
本文将系统性地介绍如何在 centos 7 系统中安全地更改 ssh 端口,解决 selinux 和防火墙相关配置,确保远程访问不中断。同时,我们还会探讨提升 ssh 安全性的更有效搭配方案。
为什么要更改 ssh 默认端口?
- 减少自动扫描攻击:大量恶意机器人默认扫描 22 端口,通过更改端口可以减少被扫描的概率。
- 防止大规模暴力 破解:将 ssh 端口调整到非标准端口可以有效防止针对 22 端口的暴力 破解攻击。
- 配合其他安全措施提升防御层次:虽然更改端口并不能阻止有决心的攻击者扫描,但这是安全“深度防御”策略的一部分。
提示:更安全的 ssh 防护手段是使用基于密钥的无密码登录、限制 ip 白名单、以及开启两步验证等措施。
步骤详解:如何更改 centos 7 的 ssh 默认端口
1. 备份 ssh 配置文件
在动手修改前,请务必备份当前配置,防止误修改导致无法登录救援。
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
2. 修改 ssh 配置文件,增加或更改端口
编辑 ssh 服务配置文件:
sudo vi /etc/ssh/sshd_config
找到 port 行,默认是:
port 22
您可以采用如下两种策略:
- 增加新端口,保留 22 端口(安全切换期)
port 22 port 2244
- 直接修改成新端口,禁用 22
port 2244
修改后,保存并退出编辑器。
安全建议:初次更改建议先添加新端口,确保能够成功通过新端口登录,再关闭 22,以免被锁定。
3. 配置 selinux 允许新 ssh 端口
centos 7 默认开启 selinux,且默认只开放 22 端口用于 ssh 服务,需添加新端口:
sudo semanage port -a -t ssh_port_t -p tcp 2244
- 如果出现
semanage: command not found错误,安装必需包:
sudo yum -y install policycoreutils-python
- 重复执行添加端口命令。
提示:
也可以临时关闭 selinux,但不推荐,因为会降低系统整体安全等级:
sudo setenforce 0
4. 配置防火墙(firewalld)放行新端口
确保新端口能通过防火墙访问:
sudo firewall-cmd --permanent --zone=public --add-port=2244/tcp
若出现 firewalld is not running,先启动防火墙:
sudo systemctl enable firewalld sudo systemctl start firewalld
确认防火墙运行状态:
sudo firewall-cmd --state
加载新配置:
sudo firewall-cmd --reload
5. 重启 ssh 服务生效
生效更改:
sudo systemctl restart sshd.service
验证 ssh 服务状态:
sudo systemctl status sshd.service
测试 ssh 新端口连接
在本地尝试使用新端口连接服务器:
ssh root@服务器ip地址 -p 2244
确认可以成功登录后,如果之前是双端口开启,可以将 22 端口从配置以及防火墙规则中移除,以完成端口切换。
关闭旧端口 22(可选)
修改
/etc/ssh/sshd_config注释掉或删除port 22,只保留新端口。删除防火墙上的 22 端口放行规则:
sudo firewall-cmd --permanent --zone=public --remove-port=22/tcp sudo firewall-cmd --reload
- 重启 ssh 服务。
阿里云服务器特殊说明:安全组配置
如果服务器部署于阿里云 ecs,除了系统防火墙,云平台安全组规则也需允许新 ssh 端口:
- 登录阿里云控制台。
- 找到对应实例的安全组配置。
- 在“入方向”规则中添加 tcp 新端口(如 2244)。
- 保存后生效。
该配置确保公网访问能够连接新端口。
更高级的 ssh 安全建议
仅仅更改端口,是“安全通过模糊”策略的开始,建议配合以下措施:
基于密钥的无密码登录:生成 ssh 密钥对,只允许拥有密钥的主机登录,关闭密码登录。
参考命令:
ssh-keygen -t rsa -b 4096 ssh-copy-id -p 2244 user@server
限制 ip 白名单:通过防火墙只允许信任 ip 地址访问 ssh 端口。
禁用 root 直接登录:修改
/etc/ssh/sshd_config,设置
permitrootlogin no
开启 fail2ban 等暴力 破解防护工具:自动禁止多次失败登录的 ip。
使用双因子认证(2fa):增加登录认证层级。
结语
更改 ssh 默认端口到非标准端口,是提高服务器安全的有效手段之一,但千万不要以此为唯一安全策略。结合 ssh 密钥认证、ip 限制、防火墙硬化和系统增强更能打造坚固的服务器安全防线。希望本文的步骤对您顺利完成 ssh 端口更改和安全强化有所帮助!
以上就是centos7更改默认ssh端口与配置指南的详细内容,更多关于centos7更改ssh端口与配置的资料请关注代码网其它相关文章!
发表评论