CentOS7更改默认SSH端口与配置指南

李菠菜2025-04-22 18:04

SSH(Secure Shell)是 Linux 服务器远程管理的核心工具,其默认监听端口为 22。由于端口 22 众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击。虽然更改 SSH 默认端口只是安全加固的一种辅助手段,但它能有效地降低被自动化攻击工具扫描的风险。

本文将系统性地介绍如何在 CentOS 7 系统中安全地更改 SSH 端口,解决 SELinux 和防火墙相关配置,确保远程访问不中断。同时,我们还会探讨提升 SSH 安全性的更有效搭配方案。

为什么要更改 SSH 默认端口?

  • 减少自动扫描攻击:大量恶意机器人默认扫描 22 端口,通过更改端口可以减少被扫描的概率。
  • 防止大规模暴力破解:将 SSH 端口调整到非标准端口可以有效防止针对 22 端口的暴力破解攻击。
  • 配合其他安全措施提升防御层次:虽然更改端口并不能阻止有决心的攻击者扫描,但这是安全"深度防御"策略的一部分。

提示:

更安全的 SSH 防护手段是使用基于密钥的无密码登录、限制 IP 白名单、以及开启两步验证等措施。

步骤详解:如何更改 CentOS 7 的 SSH 默认端口

1. 备份 SSH 配置文件

在动手修改前,请务必备份当前配置,防止误修改导致无法登录救援。

bash 复制代码 
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

2. 修改 SSH 配置文件,增加或更改端口

编辑 SSH 服务配置文件:

bash 复制代码 
sudo vi /etc/ssh/sshd_config

找到 Port 行,默认是:

bash 复制代码 
Port 22

您可以采用如下两种策略:

  • 增加新端口,保留 22 端口(安全切换期)
bash 复制代码 
Port 22
Port 2244
  • 直接修改成新端口,禁用 22
bash 复制代码 
Port 2244

修改后,保存并退出编辑器。

安全建议:初次更改建议先添加新端口,确保能够成功通过新端口登录,再关闭 22,以免被锁定。

3. 配置 SELinux 允许新 SSH 端口

CentOS 7 默认开启 SELinux,且默认只开放 22 端口用于 SSH 服务,需添加新端口:

bash 复制代码 
sudo semanage port -a -t ssh_port_t -p tcp 2244
  • 如果出现 semanage: command not found 错误,安装必需包:
bash 复制代码 
sudo yum -y install policycoreutils-python
  • 重复执行添加端口命令。

提示

也可以临时关闭 SELinux,但不推荐,因为会降低系统整体安全等级:

bash 复制代码 
sudo setenforce 0

4. 配置防火墙(Firewalld)放行新端口

确保新端口能通过防火墙访问:

bash 复制代码 
sudo firewall-cmd --permanent --zone=public --add-port=2244/tcp

若出现 FirewallD is not running,先启动防火墙:

bash 复制代码 
sudo systemctl enable firewalld
sudo systemctl start firewalld

确认防火墙运行状态:

bash 复制代码 
sudo firewall-cmd --state

加载新配置:

bash 复制代码 
sudo firewall-cmd --reload

5. 重启 SSH 服务生效

生效更改:

bash 复制代码 
sudo systemctl restart sshd.service

验证 SSH 服务状态:

bash 复制代码 
sudo systemctl status sshd.service

测试 SSH 新端口连接

在本地尝试使用新端口连接服务器:

bash 复制代码 
ssh root@服务器IP地址 -p 2244

确认可以成功登录后,如果之前是双端口开启,可以将 22 端口从配置以及防火墙规则中移除,以完成端口切换。

关闭旧端口 22(可选)

  • 修改 /etc/ssh/sshd_config 注释掉或删除 Port 22,只保留新端口。

  • 删除防火墙上的 22 端口放行规则:

bash 复制代码 
sudo firewall-cmd --permanent --zone=public --remove-port=22/tcp
sudo firewall-cmd --reload
  • 重启 SSH 服务。

阿里云服务器特殊说明:安全组配置

如果服务器部署于阿里云 ECS,除了系统防火墙,云平台安全组规则也需允许新 SSH 端口:

  1. 登录阿里云控制台。
  2. 找到对应实例的安全组配置。
  3. 在"入方向"规则中添加 TCP 新端口(如 2244)。
  4. 保存后生效。

该配置确保公网访问能够连接新端口。

更高级的 SSH 安全建议

仅仅更改端口,是"安全通过模糊"策略的开始,建议配合以下措施:

  • 基于密钥的无密码登录:生成 SSH 密钥对,只允许拥有密钥的主机登录,关闭密码登录。

    参考命令:

    bash 复制代码 
    ssh-keygen -t rsa -b 4096
ssh-copy-id -p 2244 user@server

  • 限制 IP 白名单:通过防火墙只允许信任 IP 地址访问 SSH 端口。

  • 禁用 root 直接登录 :修改 /etc/ssh/sshd_config,设置

    bash 复制代码 
    PermitRootLogin no

  • 开启 Fail2Ban 等暴力破解防护工具:自动禁止多次失败登录的 IP。

  • 使用双因子认证(2FA):增加登录认证层级。

结语

更改 SSH 默认端口到非标准端口,是提高服务器安全的有效手段之一,但千万不要以此为唯一安全策略。结合 SSH 密钥认证、IP 限制、防火墙硬化和系统增强更能打造坚固的服务器安全防线。希望本文的步骤对您顺利完成 SSH 端口更改和安全强化有所帮助!

参考资料

相关推荐
子非衣10 分钟前
Ubuntu系统挂载磁盘并配置开机自动挂载
linux·运维·ubuntu
风暴智能42 分钟前
问题处理——在ROS2(humble)+Gazebo+rqt下,无法显示仿真无人机的相机图像
linux·无人机
唐志远19971 小时前
VMware虚拟机 安装 CentOS 7
linux·运维·centos
众乐乐_20081 小时前
Uniapp中小程序调用腾讯地图(获取定位地址)
linux·服务器·apache
power 雀儿1 小时前
Linux的进程管理和用户管理
linux·运维·服务器
.小墨迹2 小时前
Apollo学习——键盘控制速度
linux·开发语言·c++·python·学习·计算机外设
richer_20202 小时前
双系统重装ubuntu
linux·运维·ubuntu
微学AI2 小时前
用FileCodeBox打造私有文件传输:Ubuntu环境保姆级部署教程!
linux·运维·ubuntu
松树戈3 小时前
本地 PC 使用Offset Explorer连接实体Ubuntu Kafka 【单机】超时问题解决
linux·ubuntu·kafka
熬夜苦读学习3 小时前
Linux线程控制
linux·运维·服务器·开发语言·后端
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05Coze扣子平台完整体验和实践(附国内和国际版对比)06DeepSeek各版本说明与优缺点分析07【解决】Android Gradle Sync 报错 Could not read workspace metadata08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09苍穹外卖面试总结10yolov10来了!用yolov10训练自己的数据集(原理、训练、部署、应用)