在阿里云服务器上更改SSH端口是提升安全性的关键措施,默认的22端口常被恶意扫描和暴力破解攻击,修改端口可大幅降低风险,以下是详细操作指南:
- 避免自动化攻击:全球70%的SSH攻击针对22端口(来源:SANS Institute)
- 减少日志噪音:过滤掉大量无效登录尝试
- 合规要求:部分行业规范要求禁用默认端口
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo vi /etc/ssh/sshd_config
找到#Port 22 行:
- 删除# 取消注释
- 下方新增自定义端口(建议1024-65535之间)
Port 22 # 暂时保留原端口 Port 54321 # 新增端口(示例)
阿里云控制台操作:
1、进入ECS实例 → 安全组
2、添加入方向规则:
- 授权类型:SSH(22) → 自定义TCP
- 端口范围:新端口(如54321)
3、删除原22端口规则(待测试后再操作)
服务器防火墙:
UFW防火墙 sudo ufw allow 54321 Firewalld sudo firewall-cmd --permanent --add-port=54321/tcp sudo firewall-cmd --reload
sudo systemctl restart sshd
ssh -p 54321 username@server_ip
重要:保持原终端窗口打开,新窗口连接成功后再退出旧会话
确认新端口可用后:
1、编辑/etc/ssh/sshd_config
2、删除Port 22 行
3、重启SSH:sudo systemctl restart sshd
4、阿里云安全组删除22端口规则
1、端口冲突检测
sudo ss -tuln | grep ':54321'
无输出表示端口可用
2、SELinux问题处理
若启用SELinux需执行:
sudo semanage port -a -t ssh_port_t -p tcp 54321
3、Fail2ban防护
建议安装防御工具:
sudo apt install fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
修改文件中的port = ssh 为port = 54321
4、多用户环境
团队协作时需提前通知新端口,避免误锁
密钥认证优先:禁用密码登录PasswordAuthentication no
IP白名单:安全组仅允许办公IP访问
审计日志:每月检查/var/log/auth.log
双因子认证:高危环境启用Google Authenticator
更改SSH端口如同给服务器加装防弹玻璃——看似基础却至关重要,但需注意,这只是纵深防御的一环,真正的安全源于持续维护:定期更新系统、最小化权限分配、关键操作三人复核机制,每次登录时看到非常用端口的提示,都该提醒自己:安全无小事,防线在细节。
文章摘自:https://idc.huochengrm.cn/zj/11321.html
评论
乾范
回复阿里云主机更改SSH端口,登录控制台,选择实例,在安全组规则中添加新的规则,指定SSH端口即可。