如何在 Linux 中使用备用端口进行 SSH 连接?

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
云防火墙,500元 1000GB
简介: 【5月更文挑战第12天】

Secure Shell(SSH)是一种用于在网络上安全传输数据的协议。默认情况下,SSH服务器使用22号端口。然而,在实际应用中,为了提高安全性,管理员可能会选择将SSH连接端口更改为非标准端口。这种做法可以有效减少暴力破解的风险,因为攻击者通常会针对默认端口进行攻击。

使用备用端口连接SSH还能提高服务器的安全性,因为大多数自动化扫描工具通常仅检查常见的端口,而使用非标准端口可以减少被扫描到的风险。

尽管使用备用端口连接SSH可以增加一定的安全性,但并不是绝对安全的方法。安全性的提高仍然依赖于其他配置和实践。在配置备用端口之前,确保您已经采取了其他安全措施,例如禁用root用户的远程登录、使用SSH密钥对等。

端口

在计算机网络中,端口是一个数字,用于标识特定的服务或应用程序。端口范围是从0到65535,其中0到1023是被系统保留的,称为"知名端口",而1024到49151是"注册端口",用于一些常见的应用。49152到65535是"动态或私有端口",用于客户端和临时服务。

默认情况下,SSH服务器使用22号端口。由于这是一个知名端口,它可能成为攻击者的目标。为了提高安全性,我们可以将SSH连接端口更改为一个非标准端口,例如2222。

选择备用端口

选择一个非标准端口用于SSH连接有助于降低被自动扫描工具和恶意用户检测到的风险。大多数攻击尝试针对默认端口22,因此更改端口可以减少这些自动化攻击的成功率。然而,需要注意的是,这并不是一种绝对安全的方法,而且不应作为唯一的安全措施。

在选择备用端口时,避免使用已知的端口,特别是那些用于其他服务的端口。确保所选端口没有被其他应用程序使用,并在系统上没有冲突。

避免使用过于显眼的数字,如1234或4321,以防止被轻松猜测。选择一个大一些的数字,例如2222或8022。总之,选择一个足够安全并且不容易被猜测到的备用端口。

更改SSH配置文件

在大多数Linux系统中,SSH的配置文件位于/etc/ssh/sshd_config。使用文本编辑器(如vinano)以root权限打开该文件:

sudo nano /etc/ssh/sshd_config

在打开的配置文件中,寻找Port参数。默认情况下,该参数设置为22。将其更改为您选择的备用端口,例如2222:

Port 2222

nano中,按下Ctrl + X,然后按下Y确认保存,最后按下Enter退出。在vi中,键入:wq并按下Enter

重启SSH服务

大多数现代Linux系统使用systemd作为服务管理器。要重新启动SSH服务,运行以下命令:

sudo systemctl restart sshd

重启SSH服务后,系统将使用新的备用端口配置。请确保您在更改端口之前确保您可以通过其他方式连接到服务器,以防出现配置错误导致的连接问题。

测试备用端口连接

现在,您可以尝试使用新的备用端口连接到SSH服务器。使用ssh命令并指定备用端口:

ssh -p 2222 username@your_server_ip

确保将2222替换为您选择的实际备用端口,username替换为您在服务器上的用户名,your_server_ip替换为服务器的实际IP地址或域名。

如果连接失败,可以考虑以下几个方面:

  • 防火墙设置: 确保您的防火墙允许通过新端口的SSH连接。您可以使用ufwiptables等工具进行配置。

  • 配置文件错误: 重新检查/etc/ssh/sshd_config文件,确保Port参数正确配置为您选择的备用端口。

  • SSH服务是否已重启: 确保在更改配置后已经重启了SSH服务。使用systemctl restart sshd命令。

其他相关配置

配置防火墙允许备用端口的访问

如果您的系统上启用了防火墙,确保防火墙允许通过备用端口的SSH连接。使用ufw作为防火墙管理器的例子:

sudo ufw allow 2222

请将2222替换为您选择的实际备用端口。如果您使用其他防火墙工具,请相应地配置。

日志监视和审计

在配置备用端口后,建议监视系统日志以确保没有异常连接尝试或其他问题。您可以查看SSH服务器的日志文件,通常位于/var/log/auth.log/var/log/secure

sudo cat /var/log/auth.log

查看日志,寻找与SSH连接相关的信息,并确保只有授权的用户能够成功连接。

使用SSH密钥对增加安全性

生成SSH密钥对

使用ssh-keygen命令生成SSH密钥对,如果您还没有生成过的话:

ssh-keygen -t rsa -b 4096

按照提示,选择保存密钥的位置并设置密码(可选)。此命令将生成一个私钥文件(通常为~/.ssh/id_rsa)和一个公钥文件(同目录下的.pub文件)。

将公钥添加到远程服务器

使用ssh-copy-id命令将您的公钥复制到远程服务器。替换usernameyour_server_ip为实际的用户名和服务器IP:

ssh-copy-id -p 2222 username@your_server_ip

这将在服务器上的~/.ssh/authorized_keys文件中添加您的公钥,允许使用私钥进行身份验证。

使用密钥对连接到备用端口

现在,您可以使用SSH密钥对连接到备用端口:

ssh -p 2222 username@your_server_ip

在连接时,您将被提示输入私钥文件的密码(如果您在生成密钥对时设置了密码)。通过使用SSH密钥对,可以增加连接的安全性,因为除非攻击者拥有相应的私钥,否则无法进行连接。

其他安全建议

禁用root用户远程登录

在SSH配置文件/etc/ssh/sshd_config中,将PermitRootLogin参数设置为no

PermitRootLogin no

这将禁止root用户通过SSH进行远程登录,从而增加了服务器的安全性。确保您有其他具有sudo权限的用户,以便进行系统管理任务。

使用fail2ban等工具防范暴力破解

安装并配置fail2ban等工具,以监视系统日志并阻止连续登录失败的尝试。这可以有效地防止暴力破解攻击。使用包管理器(例如aptyum)安装fail2ban:

sudo apt install fail2ban

配置文件通常位于/etc/fail2ban/jail.conf,您可以根据需要进行自定义设置。

目录
相关文章
|
23天前
|
监控 Linux Shell
|
1月前
|
Linux 网络安全
Linux虚拟机与主机和Xshell的连接问题解决
Linux虚拟机与主机和Xshell的连接问题解决
73 1
|
2月前
|
NoSQL Linux Redis
linux安装单机版redis详细步骤,及python连接redis案例
这篇文章提供了在Linux系统中安装单机版Redis的详细步骤,并展示了如何配置Redis为systemctl启动,以及使用Python连接Redis进行数据操作的案例。
68 2
|
2月前
|
Unix Linux 网络安全
python中连接linux好用的模块paramiko(附带案例)
该文章详细介绍了如何使用Python的Paramiko模块来连接Linux服务器,包括安装配置及通过密码或密钥进行身份验证的示例。
80 1
|
1月前
|
关系型数据库 MySQL Linux
Navicat 连接 Windows、Linux系统下的MySQL 各种错误,修改密码。
使用Navicat连接Windows和Linux系统下的MySQL时可能遇到的四种错误及其解决方法,包括错误代码2003、1045和2013,以及如何修改MySQL密码。
202 0
|
2月前
|
Linux Python
Linux之centos安装clinkhouse以及python如何连接
Linux之centos安装clinkhouse以及python如何连接
|
3月前
|
Linux 网络安全 网络架构
如何处理在学校Linux连接不上服务器
如何处理在学校Linux连接不上服务器
|
3月前
|
NoSQL Linux 网络安全
【Azure Redis】Redis-CLI连接Redis 6380端口始终遇见 I/O Error
【Azure Redis】Redis-CLI连接Redis 6380端口始终遇见 I/O Error
|
4月前
|
弹性计算 应用服务中间件 Linux
阿里云服务器开放端口完整图文教程
笔者近期开发完成的服务端程序部署在阿里云的ECS云服务器上面,一些应用程序配置文件需要设置监听的端口(如Tomcat的8080、443端口等),虽然通过CentOs 7系统的的「防火墙」开放了对应的端口号,任然无法访问端口号对应的应用程序,后面了解到原来还需要设置云服务器的「安全组规则」,开放相应的端口权限,服务端的接口才能真正开放。
689 1
阿里云服务器开放端口完整图文教程
|
4月前
|
弹性计算 运维 数据安全/隐私保护
云服务器 ECS产品使用问题之如何更改服务器的IP地址或端口号
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。