如何在 Linux 中使用备用端口进行 SSH 连接？

Secure Shell（SSH）是一种用于在网络上安全传输数据的协议。默认情况下，SSH服务器使用22号端口。然而，在实际应用中，为了提高安全性，管理员可能会选择将SSH连接端口更改为非标准端口。这种做法可以有效减少暴力破解的风险，因为攻击者通常会针对默认端口进行攻击。

使用备用端口连接SSH还能提高服务器的安全性，因为大多数自动化扫描工具通常仅检查常见的端口，而使用非标准端口可以减少被扫描到的风险。

尽管使用备用端口连接SSH可以增加一定的安全性，但并不是绝对安全的方法。安全性的提高仍然依赖于其他配置和实践。在配置备用端口之前，确保您已经采取了其他安全措施，例如禁用root用户的远程登录、使用SSH密钥对等。

端口

在计算机网络中，端口是一个数字，用于标识特定的服务或应用程序。端口范围是从0到65535，其中0到1023是被系统保留的，称为"知名端口"，而1024到49151是"注册端口"，用于一些常见的应用。49152到65535是"动态或私有端口"，用于客户端和临时服务。

默认情况下，SSH服务器使用22号端口。由于这是一个知名端口，它可能成为攻击者的目标。为了提高安全性，我们可以将SSH连接端口更改为一个非标准端口，例如2222。

选择备用端口

选择一个非标准端口用于SSH连接有助于降低被自动扫描工具和恶意用户检测到的风险。大多数攻击尝试针对默认端口22，因此更改端口可以减少这些自动化攻击的成功率。然而，需要注意的是，这并不是一种绝对安全的方法，而且不应作为唯一的安全措施。

在选择备用端口时，避免使用已知的端口，特别是那些用于其他服务的端口。确保所选端口没有被其他应用程序使用，并在系统上没有冲突。

避免使用过于显眼的数字，如1234或4321，以防止被轻松猜测。选择一个大一些的数字，例如2222或8022。总之，选择一个足够安全并且不容易被猜测到的备用端口。

更改SSH配置文件

在大多数Linux系统中，SSH的配置文件位于/etc/ssh/sshd_config。使用文本编辑器（如vi或nano）以root权限打开该文件：

sudo nano /etc/ssh/sshd_config

在打开的配置文件中，寻找Port参数。默认情况下，该参数设置为22。将其更改为您选择的备用端口，例如2222：

Port 2222

在nano中，按下Ctrl + X，然后按下Y确认保存，最后按下Enter退出。在vi中，键入:wq并按下Enter。

重启SSH服务

大多数现代Linux系统使用systemd作为服务管理器。要重新启动SSH服务，运行以下命令：

sudo systemctl restart sshd

重启SSH服务后，系统将使用新的备用端口配置。请确保您在更改端口之前确保您可以通过其他方式连接到服务器，以防出现配置错误导致的连接问题。

测试备用端口连接

现在，您可以尝试使用新的备用端口连接到SSH服务器。使用ssh命令并指定备用端口：

ssh -p 2222 username@your_server_ip

确保将2222替换为您选择的实际备用端口，username替换为您在服务器上的用户名，your_server_ip替换为服务器的实际IP地址或域名。

如果连接失败，可以考虑以下几个方面：

• 防火墙设置： 确保您的防火墙允许通过新端口的SSH连接。您可以使用ufw或iptables等工具进行配置。

• 配置文件错误： 重新检查/etc/ssh/sshd_config文件，确保Port参数正确配置为您选择的备用端口。

• SSH服务是否已重启： 确保在更改配置后已经重启了SSH服务。使用systemctl restart sshd命令。

其他相关配置

配置防火墙允许备用端口的访问

如果您的系统上启用了防火墙，确保防火墙允许通过备用端口的SSH连接。使用ufw作为防火墙管理器的例子：

sudo ufw allow 2222

请将2222替换为您选择的实际备用端口。如果您使用其他防火墙工具，请相应地配置。

日志监视和审计

在配置备用端口后，建议监视系统日志以确保没有异常连接尝试或其他问题。您可以查看SSH服务器的日志文件，通常位于/var/log/auth.log或/var/log/secure：

sudo cat /var/log/auth.log

查看日志，寻找与SSH连接相关的信息，并确保只有授权的用户能够成功连接。

使用SSH密钥对增加安全性

生成SSH密钥对

使用ssh-keygen命令生成SSH密钥对，如果您还没有生成过的话：

ssh-keygen -t rsa -b 4096

按照提示，选择保存密钥的位置并设置密码（可选）。此命令将生成一个私钥文件（通常为~/.ssh/id_rsa）和一个公钥文件（同目录下的.pub文件）。

将公钥添加到远程服务器

使用ssh-copy-id命令将您的公钥复制到远程服务器。替换username和your_server_ip为实际的用户名和服务器IP：

ssh-copy-id -p 2222 username@your_server_ip

这将在服务器上的~/.ssh/authorized_keys文件中添加您的公钥，允许使用私钥进行身份验证。

使用密钥对连接到备用端口

现在，您可以使用SSH密钥对连接到备用端口：

ssh -p 2222 username@your_server_ip

在连接时，您将被提示输入私钥文件的密码（如果您在生成密钥对时设置了密码）。通过使用SSH密钥对，可以增加连接的安全性，因为除非攻击者拥有相应的私钥，否则无法进行连接。

其他安全建议

禁用root用户远程登录

在SSH配置文件/etc/ssh/sshd_config中，将PermitRootLogin参数设置为no：

PermitRootLogin no

这将禁止root用户通过SSH进行远程登录，从而增加了服务器的安全性。确保您有其他具有sudo权限的用户，以便进行系统管理任务。

使用fail2ban等工具防范暴力破解

安装并配置fail2ban等工具，以监视系统日志并阻止连续登录失败的尝试。这可以有效地防止暴力破解攻击。使用包管理器（例如apt或yum）安装fail2ban：

sudo apt install fail2ban

配置文件通常位于/etc/fail2ban/jail.conf，您可以根据需要进行自定义设置。