修改 sshd_config 端口
$vi/etc/ssh/sshd_config
取消#Port 22
的注释,在下一行添加你需要修改的新端口Port 2048
。(这里不删除 22 端口是为了防止修改后新端口无法访问,造成无法用 ssh 连接服务器。)
Port22 Port2048
修改保存 sshd_config 文件后重启 sshd 服务:
Bash
$systemctlrestartsshd
退出 ssh 会话后,再用新的端口连接:
Bash
$ssh-p2048root@example.com ssh:connecttohost0.0.0.0port2048:Connectionrefused
好吧,native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。
打开SELinux端口
SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。
对于 ssh,SELinux 默认只允许 22 端口,我们可以用 SELinux 管理配置工具 semanage,来修改 ssh 可访问的端口。
安装 semanage 工具
Bash
$yumprovidessemanage $yum-yinstallpolicycoreutils-python
为 ssh 打开 2048 端口
Bash
#为ssh添加新的允许端口$semanageport-a-tssh_port_t-ptcp2048#查看当前SELinux允许的端口$semanageport-l|grepsshssh_port_ttcp2048,22
错误处理
当 SELINUX 配置为禁用状态时,使用 semanage 会报错提示无法读取 policy 文件:
SELinux:Couldnotdowngradepolicyfile/etc/selinux/targeted/policy/policy.30,searchingforanolderversion. SELinux:Couldnotopenpolicyfile<=/etc/selinux/targeted/policy/policy.30:Nosuchfileordirectory /sbin/load_policy:Can'tloadpolicy:Nosuchfileordirectory libsemanage.semanage_reload_policy:load_policyreturnederrorcode2.(Nosuchfileordirectory). FileNotFoundError:[Errno2]Nosuchfileordirectory
修改/etc/selinux/config
配置,启用 SELinux:
Bash
$vi/etc/selinux/config SELINUX=permissive #重启服务器$init6#重启后查看SELinux状态$sestatus#ifitshowsdisable,youcanrun$load_policy-qi
检查配置:
Bash
$semanageport-a-tssh_port_t-ptcp2048 $semanageport-l|grepsshssh_port_ttcp2048,22 #重启ssh服务systemctlrestartsshd
注:semange 不能禁用 ssh 的 22 端口:
Bash
$semanageport-d-tssh_port_t-ptcp22 ValueError:在策略中定义了端口tcp/22,无法删除。
配置防火墙 firewalld
启用防火墙 && 查看防火墙状态:
Bash
$systemctlenablefirewalld $systemctlstartfirewalld $systemctlstatusfirewalld ●firewalld.service-firewalld-dynamicfirewalldaemon Loaded:loaded(/usr/lib/systemd/system/firewalld.service;enabled;vendorpreset:enabled) Active:active(running)since二2016-12-2002:12:59CST;1day13hago MainPID:10379(firewalld) CGroup:/system.slice/firewalld.service └─10379/usr/bin/python-Es/usr/sbin/firewalld--nofork--nopid $firewall-cmd--state running
查看防火墙当前「默认」和「激活」zone(区域):
Bash
$firewall-cmd--get-default-zone public $firewall-cmd--get-active-zones public interfaces:eth0eth1
若没有激活区域的话,要执行下面的命令。
激活 public 区域,增加网卡接口:
Bash
$firewall-cmd--set-default-zone=public $firewall-cmd--zone=public--add-interface=eth0 success $firewall-cmd--zone=public--add-interface=eth1 success
为 public zone 永久开放 2048/TCP 端口:
Bash
#以防新端口不生效,先把22端口暴露$firewall-cmd--permanent--zone=public--add-port=22/tcp $firewall-cmd--permanent--zone=public--add-port=2048/tcp success #重载防火墙$firewall-cmd--reload#查看暴露端口规则$firewall-cmd--permanent--list-port 443/tcp80/tcp22/tcp2048/tcp $firewall-cmd--zone=public--list-all public(default,active) interfaces:eth0eth1 sources: services:dhcpv6-clientssh ports:443/tcp80/tcp22/tcp2048/tcp masquerade:no forward-ports: icmp-blocks: richrules:
退出 ssh 后,尝试连接新端口
Bash
$ssh-p2048root@example.com
成功登录的话,就可以做收尾工作了。
禁用 22 端口
删除 ssh 允许端口
Bash
$vi/etc/ssh/sshd_config#Port22Port2048 $systemctlrestartsshd#用ss命令检查ssh监听的端口,没有22证明修改成功$ss-tnlp|grepsshLISTEN0128*:2048*:*users:(("sshd",18233,3))
防火墙移除 22 端口
Bash
$firewall-cmd--permanent--zone=public--remove-port=22/tcp success $firewall-cmd--reload $firewall-cmd--permanent--list-port 443/tcp80/tcp2048/tcp
ssh 取消监听 22 端口,就已经配置好了,防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地:
Bash
$firewall-cmd--permanen--zone=public--add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1#配置后重载防火墙,用ssh-p22root@example.com就会访问到自己本地的22端口。
若要删除 forward 配置,可以:
Bash
$firewall-cmd--permanen--zone=public--remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1
检验修改 ssh 端口是否成功:
Bash
$ssh-p22root@example.com#无响应,因为转到了本地的22端口#若防火墙未forward连接,则会回显"ssh:connecttohost{ip}port22:Connectionrefused"$ssh-p2048root@example.com#成功success