修改 sshd_config 端口

$vi/etc/ssh/sshd_config

取消#Port 22的注释，在下一行添加你需要修改的新端口Port 2048。（这里不删除 22 端口是为了防止修改后新端口无法访问，造成无法用 ssh 连接服务器。）

Port22
Port2048

修改保存 sshd_config 文件后重启 sshd 服务：

Bash

@H_502_16@$systemctlrestartsshd

退出 ssh 会话后，再用新的端口连接：

Bash

@H_502_16@$ssh-p2048root@example.com ssh:connecttohost0.0.0.0port2048:Connectionrefused

好吧，native 了……对于 CentOS 7 这一套修改端口的方法已经不能生效了。

打开SELinux端口

SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是 MAC (Mandatory Access Control，强制访问控制系统)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

对于 ssh，SELinux 默认只允许 22 端口，我们可以用 SELinux 管理配置工具 semanage，来修改 ssh 可访问的端口。

安装 semanage 工具

Bash

@H_502_16@$yumprovidessemanage $yum-yinstallpolicycoreutils-python

为 ssh 打开 2048 端口

Bash

@H_502_16@#为ssh添加新的允许端口$semanageport-a-tssh_port_t-ptcp2048#查看当前SELinux允许的端口$semanageport-l|grepsshssh_port_ttcp2048,22

错误处理

当 SELINUX 配置为禁用状态时，使用 semanage 会报错提示无法读取 policy 文件：

SELinux:Couldnotdowngradepolicyfile/etc/selinux/targeted/policy/policy.30,searchingforanolderversion.
SELinux:Couldnotopenpolicyfile<=/etc/selinux/targeted/policy/policy.30:Nosuchfileordirectory
/sbin/load_policy:Can'tloadpolicy:Nosuchfileordirectory
libsemanage.semanage_reload_policy:load_policyreturnederrorcode2.(Nosuchfileordirectory).
FileNotFoundError:[Errno2]Nosuchfileordirectory

修改/etc/selinux/config配置，启用 SELinux：

Bash

@H_502_16@$vi/etc/selinux/config SELINUX=permissive #重启服务器$init6#重启后查看SELinux状态$sestatus#ifitshowsdisable,youcanrun$load_policy-qi

检查配置：

Bash

@H_502_16@$semanageport-a-tssh_port_t-ptcp2048 $semanageport-l|grepsshssh_port_ttcp2048,22 #重启ssh服务systemctlrestartsshd

注：semange 不能禁用 ssh 的 22 端口：

Bash

@H_502_16@$semanageport-d-tssh_port_t-ptcp22 ValueError:在策略中定义了端口tcp/22，无法删除。

配置防火墙 firewalld

启用防火墙 && 查看防火墙状态：

Bash

@H_502_16@$systemctlenablefirewalld $systemctlstartfirewalld $systemctlstatusfirewalld ●firewalld.service-firewalld-dynamicfirewalldaemon Loaded:loaded(/usr/lib/systemd/system/firewalld.service;enabled;vendorpreset:enabled) Active:active(running)since二2016-12-2002:12:59CST;1day13hago MainPID:10379(firewalld) CGroup:/system.slice/firewalld.service └─10379/usr/bin/python-Es/usr/sbin/firewalld--nofork--nopid $firewall-cmd--state running

查看防火墙当前「默认」和「激活」zone（区域）：

Bash

@H_502_16@$firewall-cmd--get-default-zone public $firewall-cmd--get-active-zones public interfaces:eth0eth1

若没有激活区域的话，要执行下面的命令。

激活 public 区域，增加网卡接口：

Bash

@H_502_16@$firewall-cmd--set-default-zone=public $firewall-cmd--zone=public--add-interface=eth0 success $firewall-cmd--zone=public--add-interface=eth1 success

为 public zone 永久开放 2048/TCP 端口：

Bash

@H_502_16@#以防新端口不生效，先把22端口暴露$firewall-cmd--permanent--zone=public--add-port=22/tcp $firewall-cmd--permanent--zone=public--add-port=2048/tcp success #重载防火墙$firewall-cmd--reload#查看暴露端口规则$firewall-cmd--permanent--list-port 443/tcp80/tcp22/tcp2048/tcp $firewall-cmd--zone=public--list-all public(default,active) interfaces:eth0eth1 sources: services:dhcpv6-clientssh ports:443/tcp80/tcp22/tcp2048/tcp masquerade:no forward-ports: icmp-blocks: richrules:

退出 ssh 后，尝试连接新端口

Bash

@H_502_16@$ssh-p2048root@example.com

成功登录的话，就可以做收尾工作了。

禁用 22 端口

删除 ssh 允许端口

Bash

@H_502_16@$vi/etc/ssh/sshd_config#Port22Port2048 $systemctlrestartsshd#用ss命令检查ssh监听的端口，没有22证明修改成功$ss-tnlp|grepsshLISTEN0128*:2048*:*users:(("sshd",18233,3))

防火墙移除 22 端口

Bash

@H_502_16@$firewall-cmd--permanent--zone=public--remove-port=22/tcp success $firewall-cmd--reload $firewall-cmd--permanent--list-port 443/tcp80/tcp2048/tcp

ssh 取消监听 22 端口，就已经配置好了，防火墙只不过是在 ssh 外多一层访问限制。如果要做的更好还可以将 22 端口的访问流量转向访问者本地：

Bash

@H_502_16@$firewall-cmd--permanen--zone=public--add-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1#配置后重载防火墙，用ssh-p22root@example.com就会访问到自己本地的22端口。

若要删除 forward 配置，可以：

Bash

@H_502_16@$firewall-cmd--permanen--zone=public--remove-forward-port=port=22:proto=tcp:toport=22:toaddr=127.0.0.1

检验修改 ssh 端口是否成功：

Bash

@H_502_16@$ssh-p22root@example.com#无响应，因为转到了本地的22端口#若防火墙未forward连接，则会回显"ssh:connecttohost{ip}port22:Connectionrefused"$ssh-p2048root@example.com#成功success