淘主机论坛

 找回密码
 成为淘友

QQ登录

只需一步,快速开始

KT服务器促销中 100M带宽 10T流量 超值传送门:会员注册及发帖规则 发帖看过来
查看: 3266|回复: 3

[Linux应用] 修改Linux CentOS修改SSH默认22端口方法(详细步骤)

[复制链接]
发表于 2013-7-4 12:12:07 | 显示全部楼层 |阅读模式
想要修改Linux默认的22端口,可以按照如下步骤操作!CentOS 7的方法请见4楼

1、运行如下代码,打开SSH的配置文件,如下:
  1. nano /etc/ssh/sshd_config
复制代码
找到#Port 22一段,去掉前面的#,然后在下面加入一行Port 800
这里是标识默认使用22端口,修改为如下:
  1. Port 22
  2. Port 800
复制代码
然后保存退出(nano的保存退出的方法是CTRL+X,按Y,按回车,VI等编辑器的保存退出方法请另行搜索)

2、之后执行
  1. /etc/init.d/sshd restart
复制代码
这样SSH端口将同时工作与22和800上。

3、现在添加一条防火墙规则,加入800端口为开放端口,详情如下:
  1. iptables -P INPUT ACCEPT
  2. iptables -F
  3. iptables -A INPUT -i lo -j ACCEPT
  4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 800 -j ACCEPT
  6. iptables -P INPUT DROP
  7. iptables -P FORWARD DROP
  8. iptables -P OUTPUT ACCEPT
  9. iptables -L -v
复制代码
注意,要一行一行执行。

4、执行完毕后,运行如下命令,来让防火墙生效:
  1. /sbin/service iptables save
复制代码
这下就完成了,试着用800端口连接ssh试试吧!

备注:

1) 查看防火墙规则命令如下:
  1. nano /etc/sysconfig/iptables
复制代码
2) 重启防火墙规则命令,
  1. /etc/init.d/iptables restart
复制代码
如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22删除,即可。
之所以先设置成两个端口,测试成功后再关闭一个端口,是为了方式在修改conf的过程中,
万一出现掉线、断网、误操作等未知情况时候,还能通过另外一个端口连接上去调试
以免发生连接不上还要联系机房调试,导致问题更加复杂麻烦。

CentOS 的IPtables规则参考(详细):
http://wiki.centos.org/zh/HowTos/Network/IPTables
 楼主| 发表于 2013-7-16 15:31:48 | 显示全部楼层
CentOS 重启SSH : service sshd restart
DeBian重启SSH:service ssh restart
 楼主| 发表于 2013-11-14 16:18:50 | 显示全部楼层

Linux防火墙相关命令

查看防火墙状态:service iptables status

开启:chkconfig iptables on

(1) 重启后永久性生效:   

开启:chkconfig iptables on   
关闭:chkconfig iptables off   

(2) 即时生效,重启后失效:   

开启:service iptables start   
关闭:service iptables stop   

需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。   

在开启了防火墙时,做如下设置,开启相关端口,   

修改/etc/sysconfig/iptables 文件,添加以下内容:   

-A RH-Firewall-1-INPUT -m state ——state NEW -m tcp -p tcp ——dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state ——state NEW -m tcp -p tcp ——dport 22 -j ACCEPT

或者:   

/etc/init.d/iptables status

会得到一系列信息,说明防火墙开着。
/etc/rc.d/init.d/iptables stop 关闭防火墙

最后:    在root用户下输入setup,进入一个图形界面,选择Firewall configuration,进入下一界面,选择Security Level为Disabled,保存。重启即可。
 楼主| 发表于 2019-2-17 20:33:56 | 显示全部楼层

RE: 修改Linux CentOS 7修改SSH默认22端口方法(详细步骤)

修改 sshd_config 端口
  1. $ vi /etc/ssh/sshd_config
复制代码

取消 #Port 22 的注释,在下一行添加你需要修改的新端口 Port 2048。(这里不删除 22 端口是为了防止修改后新端口无法访问,造成无法用 ssh 连接服务器。)

  1. Port 22  
  2. Port 2048  
复制代码

修改保存 sshd_config 文件后重启 sshd 服务:

  1. $  systemctl restart sshd
复制代码

退出 ssh 会话后,再用新的端口连接:

  1. $ ssh -p 2048 root@example.com
  2. ssh: connect to host 0.0.0.0 port 2048: Connection refused  
复制代码

好吧,native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。

打开 SELinux 端口
SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

对于 ssh,SELinux 默认只允许 22 端口,我们可以用 SELinux 管理配置工具 semanage,来修改 ssh 可访问的端口。

安装 semanage 工具
  1. $ yum provides semanage
  2. $ yum -y install policycoreutils-python
复制代码

为 ssh 打开 2048 端口
# 为 ssh 添加新的允许端口
  1. $ semanage port -a -t ssh_port_t -p tcp 2048
复制代码

# 查看当前 SELinux 允许的端口
  1. $ semanage port -l | grep ssh
  2. ssh_port_t                     tcp      2048, 22  
复制代码

错误处理
当 SELINUX 配置为禁用状态时,使用 semanage 会报错提示无法读取 policy 文件:

  1. SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.  
  2. SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.30:  No such file or directory  
  3. /sbin/load_policy:  Can't load policy:  No such file or directory
  4. libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).  
  5. FileNotFoundError: [Errno 2] No such file or directory  
复制代码

修改 /etc/selinux/config 配置,启用 SELinux:

  1. $ vi /etc/selinux/config
  2. SELINUX=permissive  
复制代码

# 重启服务器
  1. $ init 6
复制代码

# 重启后查看 SELinux 状态
  1. $ sestatus
复制代码
  1. # if it shows disable, you can run
  2. $ load_policy -qi
复制代码

检查配置
  1. $ semanage port -a -t ssh_port_t -p tcp 2048
  2. $ semanage port -l | grep ssh
  3. ssh_port_t                     tcp      2048, 22  
复制代码

# 重启 ssh 服务
  1. systemctl restart sshd  
复制代码

注:semange 不能禁用 ssh 的 22 端口:

  1. $ semanage port -d -t ssh_port_t -p tcp 22
复制代码

ValueError: 在策略中定义了端口 tcp/22,无法删除。  
配置防火墙 firewalld
启用防火墙 && 查看防火墙状态
  1. $ systemctl enable firewalld
  2. $ systemctl start firewalld
  3. $ systemctl status firewalld
  4. ● firewalld.service - firewalld - dynamic firewall daemon
  5.    Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
  6.    Active: active (running) since 二 2016-12-20 02:12:59 CST; 1 day 13h ago
  7. Main PID: 10379 (firewalld)
  8.    CGroup: /system.slice/firewalld.service
  9.            └─10379 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
  10. $ firewall-cmd --state
  11. running  
复制代码

查看防火墙当前「默认」和「激活」zone(区域)
  1. $ firewall-cmd --get-default-zone
  2. public  
  3. $ firewall-cmd --get-active-zones
  4. public  
  5.   interfaces: eth0 eth1
复制代码

若没有激活区域的话,要执行下面的命令。

激活 public 区域,增加网卡接口
  1. $ firewall-cmd --set-default-zone=public
  2. $ firewall-cmd --zone=public --add-interface=eth0
  3. success  
  4. $ firewall-cmd --zone=public --add-interface=eth1
  5. success  
复制代码

为 public zone 永久开放 2048/TCP 端口:
# 以防新端口不生效,先把 22 端口暴露
  1. $ firewall-cmd --permanent --zone=public --add-port=22/tcp
  2. $ firewall-cmd --permanent --zone=public --add-port=2048/tcp
  3. success  
复制代码

# 重载防火墙
  1. $ firewall-cmd --reload
复制代码

# 查看暴露端口规则
  1. $ firewall-cmd --permanent --list-port
  2. 443/tcp 80/tcp 22/tcp 2048/tcp  
  3. $ firewall-cmd --zone=public --list-all
  4. public (default, active)  
  5.   interfaces: eth0 eth1
  6.   sources:
  7.   services: dhcpv6-client ssh
  8.   ports: 443/tcp 80/tcp 22/tcp 2048/tcp
  9.   masquerade: no
  10.   forward-ports:
  11.   icmp-blocks:
  12.   rich rules:
复制代码

退出 ssh 后,尝试连接新端口

  1. $ ssh -p 2048 root@example.com
复制代码

成功登录的话,就可以做收尾工作了。

禁用 22 端口
删除 ssh 允许端口
  1. $ vi /etc/ssh/sshd_config
  2. #Port 22
  3. Port 2048  
复制代码
  1. $ systemctl restart sshd
复制代码

# 用 ss 命令检查 ssh 监听的端口,没有 22 证明修改成功
  1. $ ss -tnlp | grep ssh
  2. LISTEN     0      128                       *:2048                    *:*      users:(("sshd",18233,3))  
复制代码

防火墙移除 22 端口
  1. $ firewall-cmd --permanent --zone=public --remove-port=22/tcp
  2. success  
  3. $ firewall-cmd --reload
  4. $ firewall-cmd --permanent --list-port
  5. 443/tcp 80/tcp 2048/tcp  
复制代码

ssh 取消监听 22 端口,就已经配置好了,防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地:

  1. $ firewall-cmd --permanen --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1
复制代码

# 配置后重载防火墙,用 ssh -p 22 root@example.com 就会访问到自己本地的 22 端口。
若要删除 forward 配置,可以:

  1. $ firewall-cmd --permanen --zone=public --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1
复制代码

检验修改 ssh 端口是否成功:

  1. $ ssh -p 22 root@example.com
复制代码

# 无响应,因为转到了本地的 22 端口
# 若防火墙未 forward 连接,则会回显 "ssh: connect to host {ip} port 22: Connection refused"
  1. $ ssh -p 2048 root@example.com
复制代码

# 成功 success
您需要登录后才可以回帖 登录 | 成为淘友

本版积分规则

小黑屋|手机版|Archiver|淘主机

GMT+8, 2024-12-23 13:44

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表