Как изменить порт SSH

Secure Shell (SSH) является надежным и широко используемым методом для надежного подключения к удаленным серверам.По умолчанию он прослушивает порт 22-известный порт, который часто нацелен на автоматизированные боты и злонамеренные попытки входа в систему.Переход на другой порт не сделает ваш сервер непобедимым, но он может значительно сократить нежелательный трафик и помочь улучшить общее положение безопасности.

В этом уроке мы проведем вас через шаги, чтобы безопасно изменить SSH -порт вашего сервера.Попутно мы рассмотрим, как выбрать новый порт, обновить правила брандмауэра, проверить соединение и применим несколько дополнительных лучших практик для более сильной более безопасной настройки SSH.

Давайте начнем.

Предпосылки

Прежде чем сменить порт SSH, давайте убедитесь, что у вас есть следующее:

• Root или sudo доступ к серверу: Чтобы изменить настройки системы, вам понадобятся привилегии администратора.Если вы не уверены, как получить доступ к вашему серверу через SSH, обратитесь к нашему руководству на Подключение к вашему серверу через SSH
• Активное соединение SSH с использованием порта по умолчанию (обычно 22): Поддержание активного сеанса SSH - хорошая идея в случае неправильной конфигурации.
• Доступ к брандмауэру: Чтобы разрешить трафик в новом порту, вам необходимо изменить правила брандмауэра вашей операционной системы.
• Знание командной строки: Основное понимание должно быть в порядке.Если вам нужна помощь, наш Руководство для начинающих по интерфейсу командной строки это хорошее место для начала.
• Новый номер порта SSH: Выберите порт между 1024 и 65535, который еще не используется.
• Резервная копия вашего файла конфигурации SSH: Прежде чем внести изменения, важно резервное копирование конфигурации SSH, чтобы предотвратить блокировку:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Выбор нового порта SSH

По умолчанию по умолчанию в порт 22, но вы можете изменить его на любой неиспользованный порт между 1024 и 65535ПолемИзбегайте портов до 1024 года-они зарезервированы для известных услуг и могут привести к конфликтам.Ниже приведен список обще используемых портов, поэтому вы знаете, от каких из них нет ясных:

Кончик: Выберите порт, который обычно не сканируется злоумышленником, таким как 2222, 2525 или 50022

Как изменить свой порт SSH по умолчанию

После того, как вы решили номер порта, который вы хотите использовать, давайте просмотрим шаги о том, как сделать переключатель.

Шаг 1: Обновите файл конфигурации SSH

1. Соберите ваш сервер, используя текущий порт SSH (по умолчанию 22):

ssh user@your-server-ip

2. Откройте файл конфигурации DAEMON DAEMON с помощью текстового редактора, такого как NANO:

sudo nano /etc/ssh/sshd_config

3. Найдите строку, которая указывает порт SSH по умолчанию:

#Port 22

4. Незнакомьтесь (удалите символ#) и измените номер на свой новый порт:

Port 2222

(Замените 2222 на ваш предпочтительный номер порта.)

5. Сохраните и выйдите из файла.

Шаг 2: Обновление правил брандмауэра

Если ваш сервер включен брандмауэр, вам нужно открыть новый порт SSH в вашем брандмауэре и закрыть старый.

На Ubuntu/Debian:

sudo ufw allow 2222/tcp
sudo ufw delete allow 22/tcp
sudo ufw reload

На Centos Rhel с брандмалдом:

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --remove-service=sshsudo firewall-cmd --reload

Кончик: Убедитесь, что изменение порта отражено в любых других инструментах управления брандмауэром или внешними группами безопасности (например, в AWS или Cloud Providers)

Шаг 3: Перезагрузите сервис SSH

После внесения изменений примените новые настройки, перезапустив службу SSH:

sudo systemctl restart sshd

Шаг 4: Проверьте новый порт SSH

Прежде чем закрыть текущий сеанс SSH, откройте новое окно терминала и протестируйте новый порт:

ssh -p 2222 user@your-server-ip

Если подключение работает, все готово.

Если нет, вернитесь назад и дважды проверьте файл конфигурации SSH и правила брандмауэра или ознакомьтесь с нашим более подробным сообщением на Устранение неисправностей проблем с подключением SSH.

Шаг 5: Сделайте SSH -соединения проще (необязательно)

Чтобы избежать ввода номера порта каждый раз, вы можете добавлять его в локальную конфигурацию SSH:

1. Опена или создайте этот файл:

nano ~/.ssh/config

2. Добавьте следующее, используя ваши учетные данные (имя сервера, IP -адрес сервера, порт #и имя пользователя):

Host your-server
 	HostName your-server-ip 
	Port 2222 
	User your-username 

Запекание доступа SSH

Изменение порта SSH - хороший первый шаг, но вот еще несколько способов укрепления безопасности вашего сервера:

Отключить вход в корень

Редактировать/и т. Д./SSH/SSHD_CONFIG и установите:

PermitRootLogin no

Это заставляет пользователей аутентифицировать как обычного пользователя, а затем переразит привилегии в Sudo.

Используйте аутентификацию ключа SSH

Логины на основе паролей легче грубый.Переход на ключи SSH делает несанкционированный доступ значительно сложнее.Создайте пару клавиш с SSH-KeyGen и загрузите свой открытый ключ на сервер.

Настройка Fail2ban или аналогичные инструменты

Инструменты, такие как Fail2ban Monitor, пытаются входа в систему и временно запрещают IP, которые неоднократно терпят неудачу.Это помогает предотвратить атаки грубой силы.

Держите SSH и вашу ОС обновлять

Регулярно устанавливайте обновления для исправления любых известных уязвимостей.

Мониторинг входа в систему

Проверьте журналы, как /var/log/auth.log (Ubuntu/Debian) или / var / log / secure (Centos/Rhel), чтобы следить за попытками входа в систему и потенциальных угроз.

Ограничьте доступ SSH с помощью IP Whitelisting

Если только конкретные IPS нуждаются в доступе SSH, ограничивайте правила брандмауэра, чтобы разрешить только эти адреса.