如何安全地关闭VPS的22端口以防止SSH暴力破解攻击?
| 方法类型 |
操作方式 |
安全级别 |
适用场景 |
| 修改端口号 |
更改SSH配置文件中的端口号 |
中等 |
需要保留SSH访问但希望降低攻击风险 |
| 禁用密码登录 |
仅允许密钥认证登录 |
高 |
对安全性要求较高的环境 |
| 使用防火墙 |
通过iptables或firewalld关闭22端口 |
高 |
需要完全禁用22端口访问 |
| 使用Fail2Ban |
自动封禁暴力破解IP |
中等 |
需要保留22端口但增强防护 |
VPS如何安全关闭22端口?详细操作指南
在VPS服务器管理中,SSH服务的22端口常常成为黑客攻击的首要目标。关闭或限制22端口的访问是提升服务器安全性的重要措施。下面将详细介绍几种有效的关闭方法。
主要关闭方法概览
| 方法 |
操作复杂度 |
安全性 |
推荐指数 |
| 修改SSH端口号 |
简单 |
中等 |
★★★★☆ |
| 使用防火墙封锁 |
中等 |
高 |
★★★★★ |
| 禁用密码认证 |
简单 |
高 |
★★★★☆ |
| 组合使用多种方法 |
复杂 |
极高 |
★★★★★ |
详细操作步骤
方法一:修改SSH服务端口号
操作说明:通过修改SSH配置文件,将默认的22端口更改为其他非标准端口。
使用工具提示:需要使用文本编辑器(如vim、nano)和系统重启SSH服务的命令。
# 1. 使用vim编辑SSH配置文件
sudo vim /etc/ssh/sshdconfig
2. 找到并修改端口配置行
将原来的:Port 22
修改为:Port 2222
3. 重启SSH服务使配置生效
sudo systemctl restart sshd
重要提示:在修改端口前,请确保新端口未被其他服务占用,并在防火墙中开放新端口。
方法二:使用防火墙封锁22端口
操作说明:通过iptables或firewalld防火墙规则,直接阻止对22端口的访问。
使用工具提示:需要熟悉防火墙命令操作。
# 使用iptables封锁22端口
sudo iptables -A INPUT -p tcp --dport 22 -j DROP
sudo iptables -A INPUT -p udp --dport 22 -j DROP
或者使用firewalld(CentOS/RHEL)
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --reload
方法三:禁用密码认证,仅使用密钥登录
操作说明:在SSH配置中禁用密码认证,强制使用SSH密钥对进行身份验证。
# 编辑SSH配置文件
sudo vim /etc/ssh/sshdconfig
修改以下配置项
PasswordAuthentication no
PermitRootLogin without-password
PubkeyAuthentication yes
重启SSH服务
sudo systemctl restart sshd
常见问题与解决方案
| 问题 |
原因 |
解决方案 |
| 修改端口后无法连接SSH |
防火墙未开放新端口或配置错误 |
检查防火墙规则,确保新端口已开放;通过VNC或控制台重新检查配置 |
| SSH服务启动失败 |
配置文件语法错误或端口冲突 |
使用sudo sshd -t检查配置语法;查看系统日志journalctl -u sshd |
| 密钥登录失败 |
公钥未正确配置或权限设置不当 |
检查~/.ssh/authorizedkeys文件权限应为600;确认公钥格式正确 |
| 忘记开放新端口 |
防火墙阻止了新SSH端口的访问 |
通过服务器控制台登录,添加防火墙规则:sudo ufw allow 2222 |
| 连接速度变慢 |
DNS反向查询超时 |
在sshdconfig中添加UseDNS no配置项 |
在进行任何端口修改操作前,强烈建议保持当前SSH会话不关闭,并在新的终端窗口中测试新配置是否生效。这样可以避免因配置错误导致服务器无法访问的情况发生。
对于生产环境服务器,建议采用组合策略:修改SSH端口、禁用密码认证、配置防火墙规则,并设置Fail2Ban来进一步增强SSH服务的安全性。每种方法都有其适用场景,管理员应根据实际需求选择最合适的方案。
发表评论