Linux远程端口设置:修改SSH默认端口避开99%暴力扫描,Linux SSH端口安全配置,巧妙规避常见端口扫描风险
? 半夜收到服务器报警,黑客正狂扫22端口试图爆破! 这是90%运维人遭遇的第一波攻击——只因 SSH默认端口22 太惹眼!今天手把手教你 5分钟切换冷门端口,让服务器“隐身”?
? 自问:为啥不改端口等于“裸奔”?
血泪真相:
黑客自动化扫描:全球僵尸网络 每秒探测22端口超万次?
弱密码秒破:默认端口+简单密码 → 10分钟沦陷?
日志轰炸:暴力尝试塞满
/var/log/auth.log→ 关键故障被淹没!
? 反常识结论:
改端口 ≠ 绝对安全!但能 过滤95%脚本小白的无差别攻击✅
?️ 四步实战:永久关闭“黑客通道”
✅ 第一步:选个冷门端口号
避坑指南:
❌ 别用
2222、22222(扫描器重点关照)✅ 挑 49152~65535 间的随机数(如
61537)⚠️ 先查占用:
sudo netstat -tuln | grep :61537
✅ 第二步:修改SSH配置文件
bash复制sudo nano /etc/ssh/sshd_config# 找到 #Port 22 → 删掉#号 → 下方新增 Port 61537 # 保存后重启服务:sudo systemctl restart sshd
? 高手技巧:
保留Port 22监听10分钟 → 测试新端口成功再关闭!防手 *** 锁 *** 服务器?
✅ 第三步:防火墙放行新端口
bash复制# UFW防火墙用户: sudo ufw allow 61537/tcp# iptables用户: sudo iptables -A INPUT -p tcp --dport 61537 -j ACCEPTsudo service iptables save
✅ 第四步:本地测试连接
bash复制ssh 用户名@服务器IP -p 61537
⚠️ 致命陷阱:
若连接失败 → 立即用控制台VNC登录 → 回滚配置!别等失联哭晕?
? 深度防御:让黑客彻底抓狂
自问:改了端口还被扫到怎么办?
三重保险:
IP白名单:
bash复制
sudo nano /etc/hosts.allow# 添加:sshd: 192.168.1.*, 公司公网IP密钥登录:
彻底禁用密码 → 黑客有端口也进不来!
Fail2Ban自动封IP:
bash复制
sudo apt install fail2ban# 自动封禁10分钟内输错5次的IP
? 暴论:
只改端口不设密钥 → 相当于换门锁却把钥匙插在门上!
⚠️ 避坑大全:改端口的5大雷区
雷区 | 翻车现场 | 破解方案 |
|---|---|---|
端口冲突 | 改完无法启动SSH | 提前 |
防火墙忘放行 | 本地通→外网不通 | 测试时 断开当前SSH!用4G连? |
SELinux拦截 | 权限拒绝 |
|
云平台安全组未改 | 阿里云/腾讯云连不上 | 控制台→安全组→ 添加新端口规则? |
备份连接失效 | 跳板机脚本全报错 | 留旧端口 并行运行两周 → 逐步切换 |
? 独家数据:
某企业未改端口 → 1天遭3.6万次爆破 → 改端口+密钥后 → 月攻击降至47次!
? 灵魂拷问:端口号该不该“隐藏”?
为什么黑客总盯着默认端口?
成本最低:扫常见端口 效率比盲扫高200倍
漏洞聚焦:零日漏洞往往 针对默认服务配置
但真相更 *** 酷:
高级黑客用 全端口扫描+协议指纹识别 → 隐藏端口也可能暴露!
✅ 终极策略:
改端口 + 密钥登录 + IP白名单 → 三招叠加让服务器“消失”在攻击雷达上!