Linux SSH端口修改完全指南 ——从入门到实战：安全配置远程连接

Linux SSH端口修改完全指南 ——从入门到实战：安全配置远程连接

对于Linux服务器管理员来说，Linux SSH端口修改是一项基础且重要的安全加固措施。默认的22端口每天都遭受大量暴力破解尝试，通过修改SSH端口可以显著降低被攻击风险。本文将手把手教你如何安全地修改SSH端口，并确保配置生效，即使你是刚接触Linux远程连接的新手也能轻松掌握。

1. 为什么要修改SSH默认端口？

SSH服务默认监听22端口，黑客扫描工具通常会优先探测此端口。将端口改为高位端口（如2222、10022等）可以绕过大量自动化扫描，是SSH安全配置中最简单有效的措施之一。但修改后必须配合防火墙规则，否则会导致自己无法连接。

2. 修改前的准备工作

在进行Linux SSH端口修改前，建议备份配置文件：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

同时确保你拥有服务器的其他登录方式（如VNC、IPMI或直接物理访问），以防修改失败后无法恢复。

3. 修改SSH配置文件

编辑 /etc/ssh/sshd_config 文件：

sudo vim /etc/ssh/sshd_config

找到 #Port 22 这一行，去掉注释并将22改为你想要的新端口（例如2222）：

Port 2222

如果你希望保留22端口作为备用（不推荐），可以添加两行：

Port 22Port 2222

保存退出。

4. 配置防火墙放行新端口

无论使用firewalld还是iptables，都必须允许新端口，同时可考虑关闭22端口。

对于firewalld（CentOS 7+）

sudo firewall-cmd --permanent --add-port=2222/tcpsudo firewall-cmd --reload

对于iptables（传统）

sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPTsudo service iptables save

5. 处理SELinux（如果启用）

如果系统启用了SELinux，需要为Linux远程连接的新端口添加上下文：

sudo semanage port -a -t ssh_port_t -p tcp 2222

若提示未安装semanage，安装 policycoreutils-python-utils 或 policycoreutils-python。

6. 重启SSH服务并测试

完成以上步骤后，重启SSH服务使配置生效：

sudo systemctl restart sshd   # 或 sudo service ssh restart

⚠️ 重要：千万不要关闭当前SSH会话！ 请另开一个终端测试新端口连接：

ssh -p 2222 user@your-server-ip

如果连接成功，再考虑关闭22端口的防火墙规则。若失败，立即用原会话排查错误（常见原因：防火墙未放行、SELinux阻止、sshd_config语法错误）。

7. 总结与最佳实践

通过以上步骤，你已经成功完成了Linux SSH端口修改，这是SSH安全配置的基础环节。建议同时启用密钥登录、禁用root密码登录，并结合Fail2ban等工具进一步提升安全性。牢记修改SSH端口只是第一步，持续关注系统日志和漏洞更新才是长期运维之道。

本文关键词：Linux SSH端口修改、SSH安全配置、修改SSH端口、Linux远程连接 —— 确保你在搜索引擎中轻松找到这篇实用指南。