在 Linux 系统中更改 SSH 端口可以增强安全性，以下是详细步骤，如何通过更改SSH端口让你的Linux系统更安全？，想轻松提升Linux系统安全？一招教你修改SSH端口防黑客！

修改SSH配置文件前的准备

操作前提：必须使用root账户或具有sudo权限的用户执行以下操作。

安全建议：

• 操作前建议创建SSH会话快照或保持现有连接不中断
• 使用tmux或screen会话进行操作，防止意外断开
• 备份原始配置文件：sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

详细配置步骤

编辑SSH配置文件

sudo vim /etc/ssh/sshd_config

定位并修改默认端口

在配置文件中找到以下内容（通常位于文件顶部）：

#Port 22

修改为（以2222端口为例）：

Port 2222

（图示：SSH配置文件中的端口设置项）

多端口配置（过渡期建议）

Port 22
Port 2222

过渡期建议：先同时保留新旧端口，待确认新端口可用后再关闭22端口

关键安全注意事项

重要安全提示：

• 端口号应选择1024-65535范围内未被占用的端口
• 避免使用常见服务端口（如80、3306、3389等）
• 推荐使用49152-65535范围内的临时端口
• 修改后必须测试新端口连接，确认无误后再关闭旧端口

服务重启与配置生效

# 现代Linux系统
sudo systemctl restart sshd
# 旧版本系统
sudo service ssh restart
# 检查服务状态
sudo systemctl status sshd

防火墙配置详解

UFW防火墙（Ubuntu/Debian）

sudo ufw allow 2222/tcp
sudo ufw enable  # 如果防火墙未启用
sudo ufw reload

Firewalld防火墙（CentOS/RHEL）

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

Iptables防火墙

sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
# 规则持久化（根据系统选择）
sudo iptables-save | sudo tee /etc/sysconfig/iptables  # CentOS 6
sudo netfilter-persistent save  # Debian/Ubuntu

连接测试与验证

ssh -p 2222 username@服务器IP -v

测试策略：

1. 在新终端窗口测试新端口连接
2. 使用-v参数获取详细调试信息
3. 确认连接成功后，再考虑关闭22端口
4. 建议使用不同网络环境测试（如4G网络）

完全关闭默认端口

1. 从sshd_config中完全移除Port 22配置

2. 确保只保留新端口：

   Port 2222

3. 再次重启SSH服务

（图示：确认仅保留新端口配置）

SELinux专项配置（CentOS/RHEL）

# 安装必要工具
sudo yum install policycoreutils-python-utils
# 添加SELinux策略
sudo semanage port -a -t ssh_port_t -p tcp 2222
# 验证配置
sudo semanage port -l | grep ssh

完整安全加固方案

端口安全策略

• 使用非标准端口（如23456、34567等）
• 避免使用连续或易猜测的端口号
• 定期更换SSH端口（建议每3-6个月）

认证方式优化

# 禁用密码认证
PasswordAuthentication no
# 启用密钥认证
PubkeyAuthentication yes
# 限制root登录
PermitRootLogin no

用户访问控制

# 白名单模式
AllowUsers admin1 admin2
# 黑名单模式
DenyUsers testuser guest

高级防护措施

# 安装Fail2Ban
sudo apt install fail2ban  # Debian/Ubuntu
sudo yum install fail2ban  # CentOS/RHEL
# 配置登录尝试限制
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

云服务器特殊配置

1. AWS EC2：

   • 修改安全组入站规则
   • 添加新端口TCP访问权限
   • 删除旧的22端口规则（确认新端口可用后）

2. 阿里云：

   • 配置安全组规则
   • 添加入方向新端口授权
   • 设置源IP限制（可选）

3. Google Cloud：

   • 修改VPC防火墙规则
   • 添加新端口标签

故障排查指南

1. 连接失败检查清单：

   # 检查SSH服务状态
   sudo systemctl status sshd
   # 检查防火墙规则
   sudo ufw status  # UFW
   sudo firewall-cmd --list-all  # Firewalld
   # 查看连接日志
   sudo tail -f /var/log/auth.log  # Debian/Ubuntu
   sudo tail -f /var/log/secure  # CentOS/RHEL

2. 常见错误解决方案：

   • "Connection refused"：检查SSH服务是否运行
   • "Permission denied"：验证认证方式配置
   • "No route to host"：检查防火墙和网络ACL

自动化维护建议

1. 定期更新SSH服务：

   # Debian/Ubuntu
   sudo apt update && sudo apt upgrade openssh-server
   # CentOS/RHEL
   sudo yum update openssh-server

2. 日志监控脚本：

   # 监控失败登录尝试
   sudo grep "Failed password" /var/log/auth.log | awk '{print }' | sort | uniq -c | sort -nr

（图示：SSH安全监控与日志分析）

1. 端口管理：

   • 使用高位随机端口
   • 避免端口冲突
   • 定期轮换端口

2. 认证安全：

   • 强制使用SSH密钥认证
   • 禁用密码登录
   • 使用强密码（即使禁用密码认证）

3. 访问控制：

   • 限制可登录用户
   • 设置IP白名单（可选）
   • 配置登录时间限制（可选）

4. 监控审计：

   • 启用详细日志记录
   • 实时监控登录尝试
   • 定期审计SSH访问记录

通过以上全面配置，您的SSH服务安全性将得到显著提升，建议每季度复查一次SSH配置，及时应用安全更新,保持系统防护能力。