如何在 Linux 中使用备用端口进行 SSH 连接?

简介: 【5月更文挑战第12天】

Secure Shell(SSH)是一种用于在网络上安全传输数据的协议。默认情况下,SSH服务器使用22号端口。然而,在实际应用中,为了提高安全性,管理员可能会选择将SSH连接端口更改为非标准端口。这种做法可以有效减少暴力破解的风险,因为攻击者通常会针对默认端口进行攻击。

使用备用端口连接SSH还能提高服务器的安全性,因为大多数自动化扫描工具通常仅检查常见的端口,而使用非标准端口可以减少被扫描到的风险。

尽管使用备用端口连接SSH可以增加一定的安全性,但并不是绝对安全的方法。安全性的提高仍然依赖于其他配置和实践。在配置备用端口之前,确保您已经采取了其他安全措施,例如禁用root用户的远程登录、使用SSH密钥对等。

端口

在计算机网络中,端口是一个数字,用于标识特定的服务或应用程序。端口范围是从0到65535,其中0到1023是被系统保留的,称为"知名端口",而1024到49151是"注册端口",用于一些常见的应用。49152到65535是"动态或私有端口",用于客户端和临时服务。

默认情况下,SSH服务器使用22号端口。由于这是一个知名端口,它可能成为攻击者的目标。为了提高安全性,我们可以将SSH连接端口更改为一个非标准端口,例如2222。

选择备用端口

选择一个非标准端口用于SSH连接有助于降低被自动扫描工具和恶意用户检测到的风险。大多数攻击尝试针对默认端口22,因此更改端口可以减少这些自动化攻击的成功率。然而,需要注意的是,这并不是一种绝对安全的方法,而且不应作为唯一的安全措施。

在选择备用端口时,避免使用已知的端口,特别是那些用于其他服务的端口。确保所选端口没有被其他应用程序使用,并在系统上没有冲突。

避免使用过于显眼的数字,如1234或4321,以防止被轻松猜测。选择一个大一些的数字,例如2222或8022。总之,选择一个足够安全并且不容易被猜测到的备用端口。

更改SSH配置文件

在大多数Linux系统中,SSH的配置文件位于/etc/ssh/sshd_config。使用文本编辑器(如vinano)以root权限打开该文件:

sudo nano /etc/ssh/sshd_config

在打开的配置文件中,寻找Port参数。默认情况下,该参数设置为22。将其更改为您选择的备用端口,例如2222:

Port 2222

nano中,按下Ctrl + X,然后按下Y确认保存,最后按下Enter退出。在vi中,键入:wq并按下Enter

重启SSH服务

大多数现代Linux系统使用systemd作为服务管理器。要重新启动SSH服务,运行以下命令:

sudo systemctl restart sshd

重启SSH服务后,系统将使用新的备用端口配置。请确保您在更改端口之前确保您可以通过其他方式连接到服务器,以防出现配置错误导致的连接问题。

测试备用端口连接

现在,您可以尝试使用新的备用端口连接到SSH服务器。使用ssh命令并指定备用端口:

ssh -p 2222 username@your_server_ip

确保将2222替换为您选择的实际备用端口,username替换为您在服务器上的用户名,your_server_ip替换为服务器的实际IP地址或域名。

如果连接失败,可以考虑以下几个方面:

  • 防火墙设置: 确保您的防火墙允许通过新端口的SSH连接。您可以使用ufwiptables等工具进行配置。

  • 配置文件错误: 重新检查/etc/ssh/sshd_config文件,确保Port参数正确配置为您选择的备用端口。

  • SSH服务是否已重启: 确保在更改配置后已经重启了SSH服务。使用systemctl restart sshd命令。

其他相关配置

配置防火墙允许备用端口的访问

如果您的系统上启用了防火墙,确保防火墙允许通过备用端口的SSH连接。使用ufw作为防火墙管理器的例子:

sudo ufw allow 2222

请将2222替换为您选择的实际备用端口。如果您使用其他防火墙工具,请相应地配置。

日志监视和审计

在配置备用端口后,建议监视系统日志以确保没有异常连接尝试或其他问题。您可以查看SSH服务器的日志文件,通常位于/var/log/auth.log/var/log/secure

sudo cat /var/log/auth.log

查看日志,寻找与SSH连接相关的信息,并确保只有授权的用户能够成功连接。

使用SSH密钥对增加安全性

生成SSH密钥对

使用ssh-keygen命令生成SSH密钥对,如果您还没有生成过的话:

ssh-keygen -t rsa -b 4096

按照提示,选择保存密钥的位置并设置密码(可选)。此命令将生成一个私钥文件(通常为~/.ssh/id_rsa)和一个公钥文件(同目录下的.pub文件)。

将公钥添加到远程服务器

使用ssh-copy-id命令将您的公钥复制到远程服务器。替换usernameyour_server_ip为实际的用户名和服务器IP:

ssh-copy-id -p 2222 username@your_server_ip

这将在服务器上的~/.ssh/authorized_keys文件中添加您的公钥,允许使用私钥进行身份验证。

使用密钥对连接到备用端口

现在,您可以使用SSH密钥对连接到备用端口:

ssh -p 2222 username@your_server_ip

在连接时,您将被提示输入私钥文件的密码(如果您在生成密钥对时设置了密码)。通过使用SSH密钥对,可以增加连接的安全性,因为除非攻击者拥有相应的私钥,否则无法进行连接。

其他安全建议

禁用root用户远程登录

在SSH配置文件/etc/ssh/sshd_config中,将PermitRootLogin参数设置为no

PermitRootLogin no

这将禁止root用户通过SSH进行远程登录,从而增加了服务器的安全性。确保您有其他具有sudo权限的用户,以便进行系统管理任务。

使用fail2ban等工具防范暴力破解

安装并配置fail2ban等工具,以监视系统日志并阻止连续登录失败的尝试。这可以有效地防止暴力破解攻击。使用包管理器(例如aptyum)安装fail2ban:

sudo apt install fail2ban

配置文件通常位于/etc/fail2ban/jail.conf,您可以根据需要进行自定义设置。

目录
相关文章
|
5天前
|
运维 Linux 网络安全
跨平台SSH文件传输:Linux与Windows环境下的实践指南
本文介绍了在Linux和Windows之间使用SCP、SecureCRT及PuTTY工具集进行文件传输的方法。在Linux中,利用SCP命令进行文件下载、上传及目录传输。在Windows环境下,PSFTP和PSCP提供类似功能,而SecureCRT作为SSH客户端,支持设置上传下载目录并进行文件传输。掌握这些工具的使用可提升跨平台运维效率。
|
11天前
|
Linux 网络安全 数据安全/隐私保护
Jun 03 14:50:45 nodeName sshd[60215]: Accepted password for root from 192.168.0.100 port 15612 ssh2 如何关闭这个连接
【6月更文挑战第6天】Jun 03 14:50:45 nodeName sshd[60215]: Accepted password for root from 192.168.0.100 port 15612 ssh2 如何关闭这个连接
12 2
|
11天前
|
网络安全
ssh关闭某些连接
【6月更文挑战第6天】ssh关闭某些连接
10 2
|
11天前
|
Ubuntu Linux 网络安全
ubuntu linux 搭建 webssh 网页ssh远程登录其他服务器
ubuntu linux 搭建 webssh 网页ssh远程登录其他服务器
|
11天前
|
监控 Java 网络安全
java获取ssh连接时报错com.jcraft.jsch.JSchException: Packet corrupt如何处理?
【6月更文挑战第5天】java获取ssh连接时报错com.jcraft.jsch.JSchException: Packet corrupt如何处理?
42 5
|
12天前
|
前端开发 Java 应用服务中间件
linux本地检测如何tomcat是否启动成功tomcat端口检测
linux本地检测如何tomcat是否启动成功tomcat端口检测
|
12天前
|
Linux 网络安全 Windows
ssh连接缓慢 ssh连接失败问题 Linux 脚本解决ssh连接缓慢问题,windows解决本地ssh连接失败
ssh连接缓慢 ssh连接失败问题 Linux 脚本解决ssh连接缓慢问题,windows解决本地ssh连接失败
|
12天前
|
网络协议 Java Linux
Linux常用操作命令、端口、防火墙、磁盘与内存
Linux常用操作命令、端口、防火墙、磁盘与内存
12 0
|
21天前
|
存储 Linux 网络安全
在 Linux 中通过 SSH 执行远程命令时,无法自动加载环境变量(已解决)
SSH远程执行命令时遇到“命令未找到”问题,原因是Linux登录方式不同导致环境变量加载差异。解决方案:将环境变量写入`/etc/profile.d/`下的文件,或手动在命令前加载环境变量,如`source /etc/profile`。
|
27天前
|
运维 程序员 Linux
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长