SSH 是一種網(wǎng)絡(luò)協(xié)議，用于與 Linux 系統(tǒng)進(jìn)行遠(yuǎn)程安全通信。 默認(rèn)情況下，SSH 服務(wù)使用端口 22。

您可以通過(guò)修改服務(wù)器的 SSH 端口來(lái)添加額外的安全層，并降低黑客和機(jī)器人攻擊的風(fēng)險(xiǎn)。

在本教程中，您將學(xué)習(xí)如何在 Linux 服務(wù)器修改 SSH 端口，本教程幾乎涵蓋所有發(fā)行版修改 SSH 服務(wù)端口的設(shè)置。

選擇一個(gè)新端口

Linux 系統(tǒng)為常用的服務(wù)保留低于 1024 的端口。 您也可以使用 1-1024 范圍內(nèi)的端口作為 SSH 服務(wù)的端口。

但建議選擇高于 1024 的端口以避免將來(lái)出現(xiàn)問(wèn)題。 您可以為 SSH 服務(wù)最多選擇 65535 個(gè)端口號(hào)。

我們將在本教程使用 4567 端口用于 SSH 服務(wù)，您可以根據(jù)自己的喜歡進(jìn)行選擇，建議選擇一個(gè)易于記憶的。

設(shè)置防火墻

如果您的服務(wù)器啟用了防火墻，那么您需要在修改之前，也就是使用新的 SSH 端口之前對(duì)防火墻進(jìn)行調(diào)整。 設(shè)置防火墻允許新的 SSH 端口的流量。

FirewallD 是 CentOS 系統(tǒng)默認(rèn)的防火墻管理工具。 您可以在 CentOS 服務(wù)器運(yùn)行以下命令打開(kāi)新端口：

sudo firewall-cmd --permanent --zone=public --add-port=4567/tcp 
sudo firewall-cmd --reload

在基于 CentOS 或 RHEL Linux 的發(fā)行版，另一個(gè)要求是調(diào)整 SELinux 規(guī)則允許新的 SSH 端口 4567。 您可以運(yùn)行以下命令來(lái)完成 SELinux 設(shè)置：

sudo semanage port -a -t ssh_port_t -p tcp 4567

在 Ubuntu 系統(tǒng)，默認(rèn)的防火墻工具是 UFW。 運(yùn)行命令 sudo ufw allow 4567 允許新的 SSH 端口 4567 進(jìn)行連接：

sudo ufw allow 4567

如果你已經(jīng)在你的 Linux 服務(wù)器安裝 iptables 并用作防火墻，你可以運(yùn)行以下命令打開(kāi)端口 4567：

sudo iptables -A INPUT -p tcp --dport 4567 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

配置 SSH

在 Linux 中，SSH 服務(wù)默認(rèn)端口存儲(chǔ)在 etc/ssh/sshd_config 文件中。 首先，您需要使用您喜歡的文本編輯器打開(kāi) SSH 配置文件進(jìn)行編輯。

在本教程中我們將使用 vim 編輯器，運(yùn)行命令 sudo vim etc/ssh/sshd_config：

sudo vim etc/ssh/sshd_config

現(xiàn)在在文件中搜索以port 22 開(kāi)頭的行。 大多數(shù)情況下，此行用井號(hào) # 注釋掉。 刪除 # 并輸入您將使用的新 SSH 端口號(hào)，而不是標(biāo)準(zhǔn)的 SSH 端口 22。

修改后的最終結(jié)果它應(yīng)該如下所示：

Port 4567

完成上述更改后，保存文件并重新啟動(dòng) SSH 服務(wù)。

sudo systemctl restart ssh

在基于 CentOS 或 RHEL Linux 的發(fā)行版中，ssh 服務(wù)名稱是 sshd，因此您需要運(yùn)行命令 sudo systemctl restart sshd 來(lái)重啟 sshd 服務(wù)：

sudo systemctl restart sshd

您可以運(yùn)行命令 ss-an | grep 4567 來(lái)驗(yàn)證 SSH 服務(wù)是否正在監(jiān)聽(tīng)新端口 4567：

ss-an | grep 4567

它將打印如下輸出：

tcp        LISTEN   0    128       0.0.0.0:4567      0.0.0.0:*
tcp        LISTEN   0    128          [::]:4567         [::]:*

使用新端口連接 SSH 服務(wù)器

現(xiàn)在，您已成功修改 SSH 服務(wù)的端口。 要使用新端口建立連接，您必須使用 SSH 命令的 -p 選項(xiàng)指定端口號(hào)。 如下所示：

ssh -p 4567 username@remote_ip_address

結(jié)論

您已學(xué)習(xí)如何修改 Linux 系統(tǒng)的 SSH 端口。