Secure Shell(SSH)是一种用于在网络上安全传输数据的协议。默认情况下,SSH服务器使用22号端口。然而,在实际应用中,为了提高安全性,管理员可能会选择将SSH连接端口更改为非标准端口。这种做法可以有效减少暴力破解的风险,因为攻击者通常会针对默认端口进行攻击。
使用备用端口连接SSH还能提高服务器的安全性,因为大多数自动化扫描工具通常仅检查常见的端口,而使用非标准端口可以减少被扫描到的风险。
尽管使用备用端口连接SSH可以增加一定的安全性,但并不是绝对安全的方法。安全性的提高仍然依赖于其他配置和实践。在配置备用端口之前,确保您已经采取了其他安全措施,例如禁用root用户的远程登录、使用SSH密钥对等。
端口
在计算机网络中,端口是一个数字,用于标识特定的服务或应用程序。端口范围是从0到65535,其中0到1023是被系统保留的,称为"知名端口",而1024到49151是"注册端口",用于一些常见的应用。49152到65535是"动态或私有端口",用于客户端和临时服务。
默认情况下,SSH服务器使用22号端口。由于这是一个知名端口,它可能成为攻击者的目标。为了提高安全性,我们可以将SSH连接端口更改为一个非标准端口,例如2222。
选择备用端口
选择一个非标准端口用于SSH连接有助于降低被自动扫描工具和恶意用户检测到的风险。大多数攻击尝试针对默认端口22,因此更改端口可以减少这些自动化攻击的成功率。然而,需要注意的是,这并不是一种绝对安全的方法,而且不应作为唯一的安全措施。
在选择备用端口时,避免使用已知的端口,特别是那些用于其他服务的端口。确保所选端口没有被其他应用程序使用,并在系统上没有冲突。
避免使用过于显眼的数字,如1234或4321,以防止被轻松猜测。选择一个大一些的数字,例如2222或8022。总之,选择一个足够安全并且不容易被猜测到的备用端口。
更改SSH配置文件
在大多数Linux系统中,SSH的配置文件位于/etc/ssh/sshd_config
。使用文本编辑器(如vi
或nano
)以root权限打开该文件:
sudo nano /etc/ssh/sshd_config
在打开的配置文件中,寻找Port
参数。默认情况下,该参数设置为22。将其更改为您选择的备用端口,例如2222:
Port 2222
在nano
中,按下Ctrl + X
,然后按下Y
确认保存,最后按下Enter
退出。在vi
中,键入:wq
并按下Enter
。
重启SSH服务
大多数现代Linux系统使用systemd作为服务管理器。要重新启动SSH服务,运行以下命令:
sudo systemctl restart sshd
重启SSH服务后,系统将使用新的备用端口配置。请确保您在更改端口之前确保您可以通过其他方式连接到服务器,以防出现配置错误导致的连接问题。
测试备用端口连接
现在,您可以尝试使用新的备用端口连接到SSH服务器。使用ssh
命令并指定备用端口:
ssh -p 2222 username@your_server_ip
确保将2222
替换为您选择的实际备用端口,username
替换为您在服务器上的用户名,your_server_ip
替换为服务器的实际IP地址或域名。
如果连接失败,可以考虑以下几个方面:
防火墙设置: 确保您的防火墙允许通过新端口的SSH连接。您可以使用
ufw
或iptables
等工具进行配置。配置文件错误: 重新检查
/etc/ssh/sshd_config
文件,确保Port
参数正确配置为您选择的备用端口。SSH服务是否已重启: 确保在更改配置后已经重启了SSH服务。使用
systemctl restart sshd
命令。
其他相关配置
配置防火墙允许备用端口的访问
如果您的系统上启用了防火墙,确保防火墙允许通过备用端口的SSH连接。使用ufw
作为防火墙管理器的例子:
sudo ufw allow 2222
请将2222
替换为您选择的实际备用端口。如果您使用其他防火墙工具,请相应地配置。
日志监视和审计
在配置备用端口后,建议监视系统日志以确保没有异常连接尝试或其他问题。您可以查看SSH服务器的日志文件,通常位于/var/log/auth.log
或/var/log/secure
:
sudo cat /var/log/auth.log
查看日志,寻找与SSH连接相关的信息,并确保只有授权的用户能够成功连接。
使用SSH密钥对增加安全性
生成SSH密钥对
使用ssh-keygen
命令生成SSH密钥对,如果您还没有生成过的话:
ssh-keygen -t rsa -b 4096
按照提示,选择保存密钥的位置并设置密码(可选)。此命令将生成一个私钥文件(通常为~/.ssh/id_rsa
)和一个公钥文件(同目录下的.pub
文件)。
将公钥添加到远程服务器
使用ssh-copy-id
命令将您的公钥复制到远程服务器。替换username
和your_server_ip
为实际的用户名和服务器IP:
ssh-copy-id -p 2222 username@your_server_ip
这将在服务器上的~/.ssh/authorized_keys
文件中添加您的公钥,允许使用私钥进行身份验证。
使用密钥对连接到备用端口
现在,您可以使用SSH密钥对连接到备用端口:
ssh -p 2222 username@your_server_ip
在连接时,您将被提示输入私钥文件的密码(如果您在生成密钥对时设置了密码)。通过使用SSH密钥对,可以增加连接的安全性,因为除非攻击者拥有相应的私钥,否则无法进行连接。
其他安全建议
禁用root用户远程登录
在SSH配置文件/etc/ssh/sshd_config
中,将PermitRootLogin
参数设置为no
:
PermitRootLogin no
这将禁止root用户通过SSH进行远程登录,从而增加了服务器的安全性。确保您有其他具有sudo权限的用户,以便进行系统管理任务。
使用fail2ban等工具防范暴力破解
安装并配置fail2ban等工具,以监视系统日志并阻止连续登录失败的尝试。这可以有效地防止暴力破解攻击。使用包管理器(例如apt
或yum
)安装fail2ban:
sudo apt install fail2ban
配置文件通常位于/etc/fail2ban/jail.conf
,您可以根据需要进行自定义设置。