你是怎么连接到你们公司的Linux服务器的?
很多运维工程师肯定说,“ssh”上去的。
ssh虽然是Secure Shell Protocol即“安全”shell协议,这里的安全只是说加了安全机制,但是事实上,它真的安全吗?
我觉得不见得吧!
为什么这么说?
回想一下我们ssh的过程,命令行的形式就是:
ssh user_name@host(IP/Domain_name)
然后你就要输入相应的密码,是不是?
问题就出在了这里!
要知道,再复杂的密码通过暴力破解都能破解的,只不过密码的复杂性决定了破解的时间,那么假如恰好你的服务器密码也不是很复杂,那么恭喜你,“喜提”失业!
所以说,我们应该从根源上解决这个问题,直接不让攻击者有输入密码的机会,那么怎么做?这就是今天我想和大家分享的:通过修改ssh默认端口即可实现!
修改ssh默认端口
在修改前,问大家简单的问题,ssh的默认端口是多少?
我相信这个问题难不倒大家?
那么攻击者是如何去通过这个端口暴力破解呢?
开头我们说了,默认情况下ssh到服务器是通过命令ssh user_name@host(IP/Domain_name)去实现的,比如说:
ssh [email protected]
这个时候就代表你服务器默认是22端口的,那么攻击者只需要写一个脚本去通过暴力字典循环去试直到登上这台服务器为止。
至于登上去干啥,这个就不忍直视了,只能说“很可怕”!
比如拷走这台服务器所有有用的数据?比如植入木马程序,甚至更严重直接rm -rf /让你痛心!
我们看下本服务器有没有使用22端口:
ss -tulpn | grep ':22'
再次验证了ssh使用了默认的端口,比如我们想修改一下,在修改前还是要通过ss命令看下有没有被使用:
ss -tulpn | grep ':2289'
我们看到2289这个端口没有被使用过,那么我们可以以此作为新的ssh端口。
直接输入命令:
semanage port -a -t ssh_port_t -p tcp 2289
除此之外,我们还需要改配置文件:
vim /etc/ssh/sshd_config
将#Port 22中的#放开,填写自定义的2289端口:
然后重启ssh服务:
systemctl restart sshd
至此修改ssh默认端口就完成了,总结下来就两步:
-
使用 semanage port -a -t ssh_port_t -p tcp 2289命令增加ssh管理的端口; -
使用 vim /etc/ssh/sshd_config命令修改ssh配置文件,增加相关端口。
使用新的ssh端口登录
默认端口修改完了,这个时候我们需要使用新的端口去ssh登录,可以使用命令:
ssh -p 2289 [email protected]
-p参数就代表是端口(port)的意思。
注意
有些朋友可能操作后没有反应,这个时候要注意一下,服务器防火墙有没有放开相关端口!
放开的命令就是:
ufw allow 2289/tcp
总结
本文主要讲解了如何修改Linux服务器的ssh服务默认端口,希望对您有所帮助,有任何问题,欢迎在下方评论区与我讨论!