怎样修改 CentOS 7 SSH 端口

前端之家收集整理的这篇文章主要介绍了怎样修改 CentOS 7 SSH 端口前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

修改 sshd_config 端口

$vi/etc/ssh/sshd_config

取消#Port 22的注释,在下一行添加你需要修改的新端口Port 2048。(这里不删除 22 端口是为了防止修改后新端口无法访问,造成无法用 ssh 连接服务器。)

Port22
Port2048

修改保存 sshd_config 文件后重启 sshd 服务:

Bash

$systemctlrestartsshd

退出 ssh 会话后,再用新的端口连接:

Bash

$ssh-p2048root@example.com
ssh:connecttohost0.0.0.0port2048:Connectionrefused

好吧,native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。

打开SELinux端口

SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

对于 ssh,SELinux 默认只允许 22 端口,我们可以用 SELinux 管理配置工具 semanage,来修改 ssh 可访问的端口。

安装 semanage 工具

Bash

$yumprovidessemanage
$yum-yinstallpolicycoreutils-python
为 ssh 打开 2048 端口

Bash

#为ssh添加新的允许端口$semanageport-a-tssh_port_t-ptcp2048#查看当前SELinux允许的端口$semanageport-l|grepsshssh_port_ttcp2048,22
错误处理

当 SELINUX 配置为禁用状态时,使用 semanage 会报错提示无法读取 policy 文件

SELinux:Couldnotdowngradepolicyfile/etc/selinux/targeted/policy/policy.30,searchingforanolderversion.
SELinux:Couldnotopenpolicyfile<=/etc/selinux/targeted/policy/policy.30:Nosuchfileordirectory
/sbin/load_policy:Can'tloadpolicy:Nosuchfileordirectory
libsemanage.semanage_reload_policy:load_policyreturnederrorcode2.(Nosuchfileordirectory).
FileNotFoundError:[Errno2]Nosuchfileordirectory

修改/etc/selinux/config配置,启用 SELinux:

Bash

$vi/etc/selinux/config
SELINUX=permissive
#重启服务器$init6#重启后查看SELinux状态$sestatus#ifitshowsdisable,youcanrun$load_policy-qi
检查配置:

Bash

$semanageport-a-tssh_port_t-ptcp2048
$semanageport-l|grepsshssh_port_ttcp2048,22
#重启ssh服务systemctlrestartsshd

注:semange 不能禁用 ssh 的 22 端口:

Bash

$semanageport-d-tssh_port_t-ptcp22
ValueError:在策略中定义了端口tcp/22,无法删除

配置防火墙 firewalld

启用防火墙 && 查看防火墙状态:

Bash

$systemctlenablefirewalld
$systemctlstartfirewalld
$systemctlstatusfirewalld
●firewalld.service-firewalld-dynamicfirewalldaemon
Loaded:loaded(/usr/lib/systemd/system/firewalld.service;enabled;vendorpreset:enabled)
Active:active(running)since二2016-12-2002:12:59CST;1day13hago
MainPID:10379(firewalld)
CGroup:/system.slice/firewalld.service
└─10379/usr/bin/python-Es/usr/sbin/firewalld--nofork--nopid
$firewall-cmd--state
running
查看防火墙当前「默认」和「激活」zone(区域):

Bash

$firewall-cmd--get-default-zone
public
$firewall-cmd--get-active-zones
public
interfaces:eth0eth1

若没有激活区域的话,要执行下面的命令。

激活 public 区域,增加网卡接口:

Bash

$firewall-cmd--set-default-zone=public
$firewall-cmd--zone=public--add-interface=eth0
success
$firewall-cmd--zone=public--add-interface=eth1
success
为 public zone 永久开放 2048/TCP 端口:

Bash

#以防新端口不生效,先把22端口暴露$firewall-cmd--permanent--zone=public--add-port=22/tcp
$firewall-cmd--permanent--zone=public--add-port=2048/tcp
success
#重载防火墙$firewall-cmd--reload#查看暴露端口规则$firewall-cmd--permanent--list-port
443/tcp80/tcp22/tcp2048/tcp
$firewall-cmd--zone=public--list-all
public(default,active)
interfaces:eth0eth1
sources:
services:dhcpv6-clientssh
ports:443/tcp80/tcp22/tcp2048/tcp
masquerade:no
forward-ports:
icmp-blocks:
richrules:

退出 ssh 后,尝试连接新端口

Bash

$ssh-p2048root@example.com

成功登录的话,就可以做收尾工作了。

禁用 22 端口

删除 ssh 允许端口

Bash

$vi/etc/ssh/sshd_config#Port22Port2048
$systemctlrestartsshd#用ss命令检查ssh监听的端口,没有22证明修改成功$ss-tnlp|grepsshLISTEN0128*:2048*:*users:(("sshd",18233,3))
防火墙移除 22 端口

Bash

$firewall-cmd--permanent--zone=public--remove-port=22/tcp
success
$firewall-cmd--reload
$firewall-cmd--permanent--list-port
443/tcp80/tcp2048/tcp

ssh 取消监听 22 端口,就已经配置好了,防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地:

Bash

$firewall-cmd--permanen--zone=public--add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1#配置后重载防火墙,用ssh-p22root@example.com就会访问到自己本地的22端口。

若要删除 forward 配置,可以:

Bash

$firewall-cmd--permanen--zone=public--remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1

检验修改 ssh 端口是否成功:

Bash

$ssh-p22root@example.com#无响应,因为转到了本地的22端口#若防火墙未forward连接,则会回显"ssh:connecttohost{ip}port22:Connectionrefused"$ssh-p2048root@example.com#成功success

猜你在找的CentOS相关文章