在互联网环境中,22端口是SSH(Secure Shell,安全外壳协议)服务的默认通道,也因此成为恶意攻击者眼中最诱人的“靶子”。几乎每一台暴露在公网上的Linux服务器,都会在短时间内遭受大量自动化脚本的暴力破解尝试——它们不断枚举用户名和密码,试图攻破您的防线。日志中频繁出现的 Failed password 错误记录,正是攻击正在发生的明确信号。
修改SSH默认端口,是抵御暴力破解最简便、最有效的基础加固手段之一。本文将为您提供一套标准的操作流程,助您快速提升服务器安全等级。同时,如果您正在为业务寻找一款稳定、高性能且性价比出众的物理服务器,TOP云物理服务器特惠活动将是您的理想选择。
【特惠推荐】 安全与性能并重,TOP云物理服务器特惠来袭,提供双路E5至铂金Platinum系列多款CPU(最高112核),内存32G-128G可选,单线/多线独享带宽20M-200M,价格低至368元/月,是构建高安全、高可用业务环境的绝佳底座。
点击立即抢购TOP云物理服务器
一、 暴力破解的危害与防范思路
暴力破解攻击利用穷举法,不断尝试密码组合,一旦成功,攻击者将获得服务器的完全控制权,可能导致数据泄露、勒索病毒植入或服务器被用作跳板攻击他人。
核心防范手段(由浅入深):
-
修改默认端口(本文重点):将22端口改为高位端口(如10000-65535区间),可过滤掉99%的自动化扫描。
-
禁用密码登录,改用密钥认证:安全级别最高,彻底杜绝密码泄露风险。
-
安装Fail2Ban等防护软件:自动封禁多次登录失败的IP。
本文主要针对第一步——修改端口,这是最易上手且效果立竿见影的操作。
二、 修改SSH端口全流程(通过VNC或现有连接操作)
重要前提:如果您当前是通过SSH连接的,请务必保持该连接不要关闭,同时开启一个新的终端或使用VNC(虚拟网络控制台)进行操作。一旦配置失误,原连接可作为“救命稻草”进行回滚。
第1步:编辑SSH配置文件
在终端中执行以下命令(使用vim或nano编辑器):
vim /etc/ssh/sshd_config
找到以下行:
#Port 22
去掉前面的 # 注释符号,将 22 修改为您指定的新端口号,例如 13456(建议选择不易被猜解的高位端口):
Port 13456
注意:如果文件中已有多个Port条目,请确保仅保留一个有效的启用端口。
第2步:在防火墙中放行新端口
在重启SSH服务前,务必先配置防火墙,否则修改端口后您会被立即切断连接。
-
firewalld(CentOS 7+) :
firewall-cmd --permanent --add-port=13456/tcp firewall-cmd --reload
-
iptables(旧版系统) :
iptables -I INPUT -p tcp --dport 13456 -j ACCEPT service iptables save
-
Ubuntu UFW:
ufw allow 13456/tcp ufw reload
第3步:修改SELinux上下文(如适用)
在启用SELinux的系统中,更改端口可能需要额外授权:
yum install -y policycoreutils-python # 安装管理工具 semanage port -a -t ssh_port_t -p tcp 13456
如果提示端口已被占用,可改为:
semanage port -m -t ssh_port_t -p tcp 13456
第4步:重启SSH服务并保持会话
systemctl restart sshd # CentOS/RHEL systemctl restart ssh # Ubuntu/Debian
关键操作:重启服务后,不要关闭当前SSH窗口。立即打开一个新终端,尝试使用新端口连接:
ssh -p 13456 root@您的服务器公网IP
如果新端口连接成功,说明配置正确,可以安全退出旧窗口。如果连接失败,请在旧窗口中进行排错(通常是防火墙或SELinux问题)。
第5步:更新云服务商安全组规则
这是非常容易遗漏的一步!请登录云服务商控制台,在安全组的入方向规则中:
-
添加一条允许 TCP 协议、端口为 新端口(如13456) 的策略,授权对象建议暂时设为
0.0.0.0/0(后续可收紧至您的办公IP段)。 -
删除或暂时禁用允许 TCP 端口 22 的入方向规则(或保留但搭配严格IP限制)。
三、 修改后的额外加固建议
完成端口修改后,建议进一步加固SSH安全性:
-
禁用Root直接登录:在
sshd_config中设置PermitRootLogin no,日常使用普通用户登录,再通过su -或sudo提权。 -
启用密钥认证:生成SSH密钥对,将公钥上传至服务器
~/.ssh/authorized_keys,并在配置中设置PasswordAuthentication no,彻底关闭密码通道。 -
配置Fail2Ban:自动监控日志,对失败尝试过多的IP执行临时封禁。
四、 常见问题排障
-
新端口连接不上:通常为防火墙未放行或安全组未更新。请仔细核对上述第2步和第5步。
-
重启服务失败:检查
sshd_config语法是否正确,可用sshd -t命令测试配置文件,该命令会返回具体错误行号。 -
SELinux阻止:若
semanage命令无效,可临时关闭SELinux测试 (setenforce 0),确认问题后使用正确策略放行端口。
安全上云,从可靠的硬件基础开始
服务器的安全性不仅依赖于软件配置,更离不开稳定、强劲的硬件支撑。TOP云物理服务器为您提供企业级的计算资源与网络环境,让您专注于业务创新:
-
强悍算力:涵盖双路E5-2660(32核)、双路E5-2680v2(40核)、双路E5-2696/98 V4(88核)、双路Gold 6138(80核)及双路Platinum 8173(112核),从容应对高并发访问与复杂计算任务。
-
网络无忧:单线及多线独享带宽(20M-200M可选),保障数据传输的流畅与稳定。
-
超高性价比:高性能物理服务器配置,价格低至368元/月,是中小企业和开发者搭建核心业务系统的明智之选。
用TOP云物理服务器,构筑安全、高效的业务基石!
点击此处,立即参与TOP云特惠抢购




