CentOS 7修改SSH端口并配置iptables防火墙

最新推荐文章于 2024-05-06 15:46:07 发布
最新推荐文章于 2024-05-06 15:46:07 发布
阅读量3.9k 收藏 6
点赞数
分类专栏: linux 文章标签: centos iptables firewalld 防火墙

1. 修改 sshd_config 端口

$ vi /etc/ssh/sshd_config

取消 #Port 22 的注释,在下一行添加你需要修改的新端口 Port 2048。(这里不删除 22 端口是为了防止修改后新端口无法访问,造成无法用 ssh 连接服务器。)

Port 22  
Port 2048

修改保存 sshd_config 文件后重启 sshd 服务:

$  systemctl restart sshd

退出 ssh 会话后,再用新的端口连接:

$ ssh -p 2048 root@example.com
ssh: connect to host 0.0.0.0 port 2048: Connection refused

好吧,native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。

2. 打开 SELinux 端口

SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

对于 ssh,SELinux 默认只允许 22 端口,我们可以用 SELinux 管理配置工具 semanage,来修改 ssh 可访问的端口。

2.1 安装 semanage 工具

$ yum provides semanage
$ yum -y install policycoreutils-python

2.2 为 ssh 打开 2048 端口

# 为 ssh 添加新的允许端口
$ semanage port -a -t ssh_port_t -p tcp 2048
# 查看当前 SELinux 允许的端口
$ semanage port -l | grep ssh
ssh_port_t                     tcp      2048, 22

2.3 错误处理

当 SELINUX 配置为禁用状态时,使用 semanage 会报错提示无法读取 policy 文件:

SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.  
SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.30:  No such file or directory  
/sbin/load_policy:  Can't load policy:  No such file or directory
libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).  
FileNotFoundError: [Errno 2] No such file or directory

修改 /etc/selinux/config 配置,启用 SELinux:

$ vi /etc/selinux/config
SELINUX=permissive  
# 重启服务器
$ init 6
# 重启后查看 SELinux 状态
$ sestatus
# if it shows disable, you can run
$ load_policy -qi

2.4 检查配置

$ semanage port -a -t ssh_port_t -p tcp 2048
$ semanage port -l | grep ssh
ssh_port_t                     tcp      2048, 22  
# 重启 ssh 服务
systemctl restart sshd

注:semange 不能禁用 ssh 的 22 端口:

$ semanage port -d -t ssh_port_t -p tcp 22
ValueError: 在策略中定义了端口 tcp/22,无法删除。

3. 配置防火墙 firewalld

3.1 启用防火墙 && 查看防火墙状态

$ systemctl enable firewalld
$ systemctl start firewalld
$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since2016-12-20 02:12:59 CST; 1 day 13h ago
 Main PID: 10379 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─10379 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
$ firewall-cmd --state
running

3.2 查看防火墙当前「默认」和「激活」zone(区域)

$ firewall-cmd --get-default-zone
public  
$ firewall-cmd --get-active-zones
public  
  interfaces: eth0 eth1

若没有激活区域的话,要执行下面的命令。

3.3 激活 public 区域,增加网卡接口

$ firewall-cmd --set-default-zone=public
$ firewall-cmd --zone=public --add-interface=eth0
success  
$ firewall-cmd --zone=public --add-interface=eth1
success

3.4 为 public zone 永久开放 2048/TCP 端口:

# 以防新端口不生效,先把 22 端口暴露
$ firewall-cmd --permanent --zone=public --add-port=22/tcp
$ firewall-cmd --permanent --zone=public --add-port=2048/tcp
success  
# 重载防火墙
$ firewall-cmd --reload
# 查看暴露端口规则
$ firewall-cmd --permanent --list-port
443/tcp 80/tcp 22/tcp 2048/tcp  
$ firewall-cmd --zone=public --list-all
public (default, active)  
  interfaces: eth0 eth1
  sources:
  services: dhcpv6-client ssh
  ports: 443/tcp 80/tcp 22/tcp 2048/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

退出 ssh 后,尝试连接新端口

$ ssh -p 2048 root@example.com

成功登录的话,就可以做收尾工作了。

4. 禁用 22 端口

4.1 删除 ssh 允许端口

$ vi /etc/ssh/sshd_config
#Port 22
Port 2048  
$ systemctl restart sshd
# 用 ss 命令检查 ssh 监听的端口,没有 22 证明修改成功
$ ss -tnlp | grep ssh
LISTEN     0      128                       *:2048                    *:*      users:(("sshd",18233,3))

4.2 防火墙移除 22 端口

$ firewall-cmd --permanent --zone=public --remove-port=22/tcp
success  
$ firewall-cmd --reload
$ firewall-cmd --permanent --list-port
443/tcp 80/tcp 2048/tcp

ssh 取消监听 22 端口,就已经配置好了,防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地:

$ firewall-cmd --permanen --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1
# 配置后重载防火墙,用 ssh -p 22 root@example.com 就会访问到自己本地的 22 端口。

若要删除 forward 配置,可以:

$ firewall-cmd --permanen --zone=public --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1

检验修改 ssh 端口是否成功:

$ ssh -p 22 root@example.com
# 无响应,因为转到了本地的 22 端口
# 若防火墙未 forward 连接,则会回显 "ssh: connect to host {ip} port 22: Connection refused"
$ ssh -p 2048 root@example.com
# 成功 success

5. 作者介绍

梁明远,国防科大并行与分布式计算国家重点实验室(PDL)应届研究生,14年入学伊始便开始接触docker,准备在余下的读研时间在docker相关开源社区贡献自己的代码,毕业后准备继续从事该方面研究。邮箱:liangmingyuanneo@gmail.com

6. 参考文献

转自:https://www.centos.bz/2017/08/centos-7-change-ssh-port/

yuanfang_way
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos 6.5下修改SSH端口及禁用root远程登录的方法
01-11
前言 我们大家都知道 SSH 的默认端口为 22,但是基于安全的需要,我们需要修改服务器的 SSH 端口,和禁用 root 远程登录。 通过以下步骤,我们通过编辑 /etc/ssh/sshd_config ,将端口修改为 10089,并禁用 root 远程登录,同时为新端口添加防火墙规则,并删除默认端口的规则。 注意:1,使用 root 用户执行以下步骤;2,只在 CentOS 6.5 下验证。 修改端口 vi /etc/ssh/sshd_config Port 10089 #端口号 PermitRootLogin no # 禁止root ssh 为新端口开通防火墙规则 iptables
CentOS6.5与CentOS7 ssh修改默认端口号的方法
01-09
本文实例讲述了CentOS6.5与CentOS7 ssh修改默认端口号的方法。分享给大家供大家参考,具体如下: CentOS6.5ssh修改默认端口号 先查看下服务器端口号范围: # sysctl -a|grep ip_local_port_range net.ipv4.ip_local_port_range = 32768 61000 新ssh端口号在这个范围内即可,如41134 第一步: vi /etc/sysconfig/iptables 找到现有的ssh那行,把22修改为新的SSH端口号41134 修改后的配置应为 -A INPUT -p tcp -m state --st
CentOS7 修改SSH端口,禁止root用户登陆
0x88
05-18 1111
假设需要把默认的22端口改为10022端口1. 修改iptablevi /etc/sysconfig/iptables #在iptables配置文件中添加SSH所对应的端口-A INPUT -p tcp -m state --state NEW -m tcp --dport 10022 -j ACCEPTservice iptables restart #重启iptables 这步必须先做2.修改...
redhat 添加ssh端口_RHEL7.0修改SSH默认端口及SELinux运行状态修改
weixin_39890708的博客
12-19 695
Linux系统安装好后,默认会开启SSH服务以便远程配置。但使用默认端口22不安全,一般不建议使用默认端口,那就需要修改SSH默认端口。在RHEL7.0上修改和7.0以下类似,但要注意SELinux的修改SSH 为 Secure Shell,由IETF的网络工作小组(Network Working Group)所制定;SSH 是建立在应用层和传输层基础上的一种安全协议。SSH传输数据是加密的,可...
Centos7笔记之SSH服务安装和设置
热门推荐
潇洒哥的运维之道
08-20 3万+
一、目标 centos7SSH服务安装和设置。 二、平台 centos7.6, 三、解析 在centos7ssh服务默认是已经被安装了的。通过命令rpm -qa | grep openssh 查看是否安装了ssh服务 四、客户端免密ssh登录到服务器 1.安装ssh:yum install openssh 默认已经安装了,可忽略此步骤。 2.客户端生成key:[root@l...
iptables增加、删除、修改、查询、保存防火墙策略教程
u012242646的博客
11-23 1767
一.查看现有防火墙策略 二.增加防火墙策略(以22端口为例) 说明: 1.-A代理在末尾追加,如果要在开头插入使用 -I 2.多IP使用逗号(半角)相隔,多端口添加-m multiport然后端口使用逗号(半角)相隔 3.对于连续IP合用–src-range iptables -I INPUT -m iprange --src-range 192.168.220.128-192.168.22...
Centos7如何修改ssh默认端口
ZanShichun的博客
09-19 3188
修改 sshd_config 端口 Bash $ vi /etc/ssh/sshd_config 取消 #Port 22 的注释,在下一行添加你需要修改的新端口 Port 2048。(这里不删除 22 端口是为了防止修改后新端口无法访问,造成无法用 ssh 连接服务器。) Port 22 Port 2048 修改保存 sshd_config 文件后
iptables使用详解(centos7)
u014644574的博客
04-11 7311
iptables使用详解(centos7)
centos8 开机之ssh配置以及iptables等操作
fsheng_rp的专栏
01-07 1109
centos8 的系统,开始安装完成后,需要配置iptables和selinux的操作: 以下是操作详细内容: 1. 安装ssh yum list installed | grep openssh-server 查看是否有ssh yum install openssh-server 安装ssh2. 编辑ssh vim /etc/ssh/sshd_config port 22 AddressFamily any去掉 # ListenAddress 0.0.0.0 删除# ListenAddre...
CentOS系统SSH无法连接
weixin_45190065的博客
08-29 1万+
CentOS系统SSH无法连接
CentOS 7 sshd 链接被拒绝问题解决办法
01-20
原因,centos7 修改了链接的端口变成 2200了。 #Port 22 Port 2200 修改回去,或使用2200链接。 修改:vi /etc/ssh/sshd_config 2,centos7默认安装了防火墙不是iptables了 因为是本地测试,所以直接关闭防火墙...
Linux CentOS上用iptables设置防火墙遇到的问题
01-09
服务器环境:阿里云云服务器、Linux CentOS操作系统、Couchbase Server  开始的安全策略:默认拒绝所有、只允许所需  操作命令:  允许入站ssh连接 iptables -A INPUT -p tcp –dport 22 -m state –...
Centos6.5 ssh配置与使用教程
01-10
下面给大家介绍centos6.5 ssh配置与使用教程的知识,具体详情如下所示: #rpm -qa |grep ssh 检查是否装了SSH包 #yum install openssh-server 没有的话,安装SSH服务 #chkconfig --list sshd 检查SSHD是否在本运行...
等保测评—Linux-CentOS标准范例截图
2403_84237550的博客
05-06 47
使用命令#more /etc/pam.d/system-auth,密码长度为8,至少包含 1 个大写字母至少包含 2 个小写字母,至少包含 1 个数字,至少包含 1 个特殊字符。more /etc/login.defs 文件,核查是否设置口令有效期策略,密码有效期90天,最短7天,最小长度8位,提前 7 天警告用户密码即将过期。cat /etc/shadow,查看文件中各用户名状态 , 核查密码一栏为空的用户名。cat /etc/passwd,核查用户名和 UID,是否存在同样的用户名和 UID。
windows连接CentOS数据库或Tomcat报错,IP通的,端口正常监听
最新发布
2302_77302329的博客
05-06 204
【以下以3306端口为例,对于8080端口来说操作是一样的,只需要替换端口号】响应时间过长 ERR_CONNECTION_TIMED_OUT。4、CentOS本机可以连接到数据库,但是远程不可以。但是却关闭了防火墙,此时3306端口就无法访问。当我们使用以下的命令单独开放了3306端口。1、ping CentOS IP是通的。关闭防火墙(1次,重启后又自动运行)保留防火墙规则,保持防火墙启动状态。用nmap扫描端口状态是。
centos 8.2 安装配置 vsftpd 虚拟用户访问
tonyhi6的博客
04-29 152
centos 8.2 安装配置 vsftpd 虚拟用户访问
CentOS:增加网桥可以通过brctl命令
一些平时在开发过程中遇到的常见问题,分享给大家
05-02 501
CentOS:增加网桥可以通过brctl命令
centos无法tab补全至文件
wyx的博客
05-06 124
首先,我们要搞清楚tab补全功能的包bash-completion是否安装,这里肯定是安装了,不过还是看看那。很奇怪的需求:redhat 7.9版本用cd 只能到目录,无法到文件。我个人认为不是个问题,但是甲方需求,你懂的。
饥荒服务器搭建centos
weixin_73510682的博客
05-06 598
注意: 上面的 World1 是存档名字,如果你没放存档到 /home/dstsave 下,他会自动帮你生成一个默认的 名字叫World1 时间,参数都是默认的。cluster_token.txt
centos安装iptables防火墙
05-10
以下是在 CentOS 上安装 iptables 防火墙的步骤: 1. 首先,使用 root 用户登录您的 CentOS 服务器。 2. 打开终端,执行以下命令安装 iptables: ``` yum install iptables-services ``` 3. 安装完成后,启动 iptables 服务: ``` systemctl start iptables ``` 4. 接着,将 iptables 服务设置为开机自启动: ``` systemctl enable iptables ``` 5. 确认 iptables 服务已经启动: ``` systemctl status iptables ``` 如果状态为 active(运行中),则表示 iptables 服务已经成功启动。 6. 配置 iptables 规则: 在 CentOS配置 iptables 规则有两种方式,一种是手动配置,另一种是使用防火墙配置工具。 手动配置: 编辑 /etc/sysconfig/iptables 文件,添加相应的规则。例如,开放 SSH 连接的端口: ``` -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ``` 配置完毕后,保存文件并重启 iptables 服务使配置生效: ``` systemctl restart iptables ``` 防火墙配置工具: CentOS 提供了防火墙配置工具 firewalld,您可以使用以下命令安装: ``` yum install firewalld ``` 安装完成后,启动 firewalld 服务并设置开机自启动: ``` systemctl start firewalld systemctl enable firewalld ``` 然后,使用 firewall-cmd 命令添加防火墙规则。例如,开放 SSH 连接的端口: ``` firewall-cmd --zone=public --add-port=22/tcp --permanent ``` 配置完毕后,重新加载防火墙规则使其生效: ``` firewall-cmd --reload ``` 以上就是在 CentOS 上安装 iptables 防火墙的步骤,您可以根据需要进行配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值