修改Linux CentOS修改SSH默认22端口方法(详细步骤)

淘主机

想要修改Linux默认的22端口，可以按照如下步骤操作！CentOS 7的方法请见4楼

1、运行如下代码，打开SSH的配置文件，如下：

1. nano /etc/ssh/sshd_config

复制代码

找到#Port 22一段，去掉前面的#，然后在下面加入一行Port 800
这里是标识默认使用22端口，修改为如下：

1. Port 22
   
2. Port 800

复制代码

然后保存退出（nano的保存退出的方法是CTRL+X，按Y，按回车，VI等编辑器的保存退出方法请另行搜索）

2、之后执行

1. /etc/init.d/sshd restart

复制代码

这样SSH端口将同时工作与22和800上。

3、现在添加一条防火墙规则，加入800端口为开放端口，详情如下：

1. iptables -P INPUT ACCEPT
   
2. iptables -F
   
3. iptables -A INPUT -i lo -j ACCEPT
   
4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
5. iptables -A INPUT -p tcp --dport 800 -j ACCEPT
   
6. iptables -P INPUT DROP
   
7. iptables -P FORWARD DROP
   
8. iptables -P OUTPUT ACCEPT
   
9. iptables -L -v
   

复制代码

注意，要一行一行执行。

4、执行完毕后，运行如下命令，来让防火墙生效：

1. /sbin/service iptables save

复制代码

这下就完成了，试着用800端口连接ssh试试吧！

备注：

1) 查看防火墙规则命令如下：

1. nano /etc/sysconfig/iptables

复制代码

2) 重启防火墙规则命令，

1. /etc/init.d/iptables restart

复制代码

如果连接成功了，则再次编辑sshd_config的设置，将里边的Port22删除，即可。
之所以先设置成两个端口，测试成功后再关闭一个端口，是为了方式在修改conf的过程中，
万一出现掉线、断网、误操作等未知情况时候，还能通过另外一个端口连接上去调试
以免发生连接不上还要联系机房调试，导致问题更加复杂麻烦。

CentOS 的IPtables规则参考（详细）：
http://wiki.centos.org/zh/HowTos/Network/IPTables

淘主机

CentOS 重启SSH ： service sshd restart
DeBian重启SSH：service ssh restart

淘主机

查看防火墙状态：service iptables status

开启：chkconfig iptables on

（1） 重启后永久性生效：   

开启：chkconfig iptables on   
关闭：chkconfig iptables off   

（2） 即时生效，重启后失效：   

开启：service iptables start   
关闭：service iptables stop   

需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。   

在开启了防火墙时，做如下设置，开启相关端口，   

修改/etc/sysconfig/iptables 文件，添加以下内容：   

-A RH-Firewall-1-INPUT -m state ——state NEW -m tcp -p tcp ——dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state ——state NEW -m tcp -p tcp ——dport 22 -j ACCEPT

或者：   

/etc/init.d/iptables status

会得到一系列信息，说明防火墙开着。
/etc/rc.d/init.d/iptables stop 关闭防火墙

最后：    在root用户下输入setup，进入一个图形界面，选择Firewall configuration，进入下一界面，选择Security Level为Disabled，保存。重启即可。

淘主机

修改 sshd_config 端口

1. $ vi /etc/ssh/sshd_config

复制代码

取消 #Port 22 的注释，在下一行添加你需要修改的新端口 Port 2048。（这里不删除 22 端口是为了防止修改后新端口无法访问，造成无法用 ssh 连接服务器。）

1. Port 22  
   
2. Port 2048  

复制代码

修改保存 sshd_config 文件后重启 sshd 服务：

1. $  systemctl restart sshd

复制代码

退出 ssh 会话后，再用新的端口连接：

1. $ ssh -p 2048 root@example.com
   
2. ssh: connect to host 0.0.0.0 port 2048: Connection refused  

复制代码

好吧，native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。

打开 SELinux 端口
SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是 MAC (Mandatory Access Control，强制访问控制系统)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

对于 ssh，SELinux 默认只允许 22 端口，我们可以用 SELinux 管理配置工具 semanage，来修改 ssh 可访问的端口。

安装 semanage 工具

1. $ yum provides semanage
   
2. $ yum -y install policycoreutils-python

复制代码

为 ssh 打开 2048 端口
# 为 ssh 添加新的允许端口

1. $ semanage port -a -t ssh_port_t -p tcp 2048

复制代码

# 查看当前 SELinux 允许的端口

1. $ semanage port -l | grep ssh
   
2. ssh_port_t                     tcp      2048, 22  

复制代码

错误处理
当 SELINUX 配置为禁用状态时，使用 semanage 会报错提示无法读取 policy 文件：

1. 
   
2. SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.  
   
3. SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.30:  No such file or directory  
   
4. /sbin/load_policy:  Can't load policy:  No such file or directory
   
5. libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).  
   
6. FileNotFoundError: [Errno 2] No such file or directory  

复制代码

修改 /etc/selinux/config 配置，启用 SELinux：

1. $ vi /etc/selinux/config
   
2. SELINUX=permissive  

复制代码

# 重启服务器

1. $ init 6

复制代码

# 重启后查看 SELinux 状态

1. $ sestatus

复制代码

1. # if it shows disable, you can run
   
2. $ load_policy -qi

复制代码

检查配置

1. $ semanage port -a -t ssh_port_t -p tcp 2048
   
2. $ semanage port -l | grep ssh
   
3. ssh_port_t                     tcp      2048, 22  

复制代码

# 重启 ssh 服务

1. systemctl restart sshd  

复制代码

注：semange 不能禁用 ssh 的 22 端口：

1. $ semanage port -d -t ssh_port_t -p tcp 22

复制代码

ValueError: 在策略中定义了端口 tcp/22，无法删除。  
配置防火墙 firewalld
启用防火墙 && 查看防火墙状态

1. $ systemctl enable firewalld
   
2. $ systemctl start firewalld
   
3. $ systemctl status firewalld
   
4. ● firewalld.service - firewalld - dynamic firewall daemon
   
5.    Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   
6.    Active: active (running) since 二 2016-12-20 02:12:59 CST; 1 day 13h ago
   
7. Main PID: 10379 (firewalld)
   
8.    CGroup: /system.slice/firewalld.service
   
9.            └─10379 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
   
10. $ firewall-cmd --state
    
11. running  

复制代码

查看防火墙当前「默认」和「激活」zone（区域）

1. $ firewall-cmd --get-default-zone
   
2. public  
   
3. $ firewall-cmd --get-active-zones
   
4. public  
   
5.   interfaces: eth0 eth1

复制代码

若没有激活区域的话，要执行下面的命令。

激活 public 区域，增加网卡接口

1. $ firewall-cmd --set-default-zone=public
   
2. $ firewall-cmd --zone=public --add-interface=eth0
   
3. success  
   
4. $ firewall-cmd --zone=public --add-interface=eth1
   
5. success  

复制代码

为 public zone 永久开放 2048/TCP 端口：
# 以防新端口不生效，先把 22 端口暴露

1. $ firewall-cmd --permanent --zone=public --add-port=22/tcp
   
2. $ firewall-cmd --permanent --zone=public --add-port=2048/tcp
   
3. success  

复制代码

# 重载防火墙

1. $ firewall-cmd --reload

复制代码

# 查看暴露端口规则

1. $ firewall-cmd --permanent --list-port
   
2. 443/tcp 80/tcp 22/tcp 2048/tcp  
   
3. $ firewall-cmd --zone=public --list-all
   
4. public (default, active)  
   
5.   interfaces: eth0 eth1
   
6.   sources:
   
7.   services: dhcpv6-client ssh
   
8.   ports: 443/tcp 80/tcp 22/tcp 2048/tcp
   
9.   masquerade: no
   
10.   forward-ports:
    
11.   icmp-blocks:
    
12.   rich rules:

复制代码

退出 ssh 后，尝试连接新端口

1. $ ssh -p 2048 root@example.com

复制代码

成功登录的话，就可以做收尾工作了。

禁用 22 端口
删除 ssh 允许端口

1. $ vi /etc/ssh/sshd_config
   
2. #Port 22
   
3. Port 2048  

复制代码

1. $ systemctl restart sshd

复制代码

# 用 ss 命令检查 ssh 监听的端口，没有 22 证明修改成功

1. $ ss -tnlp | grep ssh
   
2. LISTEN     0      128                       *:2048                    *:*      users:(("sshd",18233,3))  

复制代码

防火墙移除 22 端口

1. $ firewall-cmd --permanent --zone=public --remove-port=22/tcp
   
2. success  
   
3. $ firewall-cmd --reload
   
4. $ firewall-cmd --permanent --list-port
   
5. 443/tcp 80/tcp 2048/tcp  

复制代码

ssh 取消监听 22 端口，就已经配置好了，防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地：

1. $ firewall-cmd --permanen --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1

复制代码

# 配置后重载防火墙，用 ssh -p 22 root@example.com 就会访问到自己本地的 22 端口。
若要删除 forward 配置，可以：

1. $ firewall-cmd --permanen --zone=public --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1

复制代码

检验修改 ssh 端口是否成功：

1. $ ssh -p 22 root@example.com

复制代码

# 无响应，因为转到了本地的 22 端口
# 若防火墙未 forward 连接，则会回显 "ssh: connect to host {ip} port 22: Connection refused"

1. $ ssh -p 2048 root@example.com

复制代码

# 成功 success