接昨天文章 denyhosts阻止SSH暴力攻击
今天说一个简单解决 SSH 暴力攻击(端口扫描)的方法:更改SSH默认 22 端口
步骤:
1. 远程登录服务器
可使用 xshell 或者 iterm 等工具登录
2. 编辑 ssh配置文件(一般在/etc/ssh/目录下)
vim /etc/ssh/sshd_config
修改
#Port 22
#AddressFamily inet
#ListenAddress 0.0.0.0
#ListenAddress ::
添加上自定义的端口为 (23456或者任意10000~65535之间的端口,因为10000以下的端口号可能被特殊软件占用)
Port 22
Port 23456
#AddressFamily inet
#ListenAddress 0.0.0.0
#ListenAddress ::
⚠️注意:这里原来的 22 端口仍然保留,等配置完成,使用 23456 端口能够登录成功之后,再把22端口注释掉,防止更改端口之后登录不成功造成麻烦。
3. 开放新增的 23456 端口 (--permanent永久生效,没有此参数重启后失效)
firewall-cmd --zone=public --add-port=ssh端口/tcp --permanent
更新防火墙:
firewall-cmd –reload
重启sshd服务:
systemctl restart sshd
4. 注意,要在服务器的安全组设置中开放 23456端口,
登录服务器控制台,安全组设置中 开放 23456 端口
5. 退出登录,使用 23456 端口重新登录,
ssh root@0.0.0.0 (你的公网IP) -p 23456
如果能登录成功,则重回上边第 2. 步,将22端口注释,以后使用 23456 端口登录即可。
如有问题,参见: