默认情况下， SSH 侦听端口 22 。 更改默认 SSH 端口可以降低被自动攻击的风险，从而为服务器增加额外的安全层。

和更改默认端口相比，将防火墙配置为仅允许从特定主机访问端口 22 则更加简单和安全。

本教程介绍如何更改 Linux 中的默认 SSH 端口。我们还将向您展示如何配置防火墙以允许访问新的 SSH 端口。

更改 SSH 端口

请按照以下步骤更改 Linux 系统上的 SSH 端口：

选择新的端口号

在 Linux 中，低于 1024 的端口号保留用于众所周知的服务，并且只能由 root 绑定。虽然您可以使用 1-1024 范围内的端口进行 SSH 服务，但为了避免将来出现端口分配问题，建议选择 1024 以上的端口。

在此示例中，将 SSH 端口更改为 5522 ，当然您可以选择任何您喜欢的端口。

调整防火墙

在更改 SSH 端口之前，首先需要调整防火墙以允许新 SSH 端口上的流量。

如果您使用的是 Ubuntu 的默认防火墙配置工具 UFW ， 请运行以下命令来打开新的 SSH 端口：

sudo ufw allow 5522/tcp

在 CentOS 中，默认的防火墙管理工具是 FirewallD 。要打开新端口，请运行以下命令：

sudo firewall-cmd --permanent --zone=public --add-port=5522/tcp

sudo firewall-cmd --reload

CentOS 用户还需要调整 SELinux 规则以允许新的SSH端口：

sudo semanage port -a -t ssh_port_t -p tcp 5522

如果您使用 iptables 作为防火墙，则以下命令将打开新的 SSH 端口：

sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

编辑 SSH 配置

使用文本编辑器打开 SSH 配置文件 /etc/ssh/sshd_config ：

sudo nano /etc/ssh/sshd_config

搜索以 Port 22 开头的行。在大多数情况下，此行将以 # 开头。删除 # 并输入将用于代替标准 SSH 端口 22 的新 SSH 端口号。

Port 5522

修改 SSH 配置文件时要格外小心。不正确的配置可能导致 SSH 服务无法启动。

完成后保存文件并重新启动 SSH 服务以应用更改：

sudo systemctl restart ssh

在 CentOS 中， ssh 服务命名为 sshd ：

sudo systemctl restart sshd

要验证 SSH 守护程序是否正在侦听新端口 5522 ，请键入：

ss -an | grep 5522

输出应该如下所示：

tcp LISTEN 0 128 0.0.0.0:5522 0.0.0.0:*

tcp ESTAB 0 0 192.168.121.108:5522 192.168.121.1:57638

tcp LISTEN 0 128 [::]:5522 [::]:*

使用新的 SSH 端口

现在您已经更改了要登录远程的计算机 SSH 端口，您需要在登录时指定新端口。

使用 -p 选项指定端口：

ssh -p 5522 username@remote_host_or_ip

结论

在本教程中，您学习了如何更改 Linux 服务器上的 SSH 端口。您可能还需要设置基于 SSH 密钥的身份验证，不输入密码的情况下连接到 Linux 服务器。

如果您经常连接到多个系统，则可以通过在 SSH 配置文件中定义所有连接来简化工作流程。

如果您遇到问题或有反馈，请在下面留言。