安全防护之三:Linux/OpenWrt修改 ssh 端口号
前2篇文章介绍了:
想了想还是把默认的端口22修改了吧,这样会更安全一点.你们如果没必要平时不需要打开,用的时候到NAS上打开就行。但是我是需要把这个端口暴露在公网上的,需要长期连接。配合上面2篇文章,能大幅度提升NAS的安全
Linux各种发行版的修改方法:
修改 SSH 配置文件
vi /etc/ssh/sshd_config
找到 #Port 22 这一行,取消 # 注释并修改为你想要的端口号:
比如 Port 2022
重启 ssh 服务
sudo systemctl restart sshd
或者
sudo service ssh restart
或者
sudo /etc/init.d/ssh restart
测试新的SSH端口号是否修改成功
sudo netstat -tulnp | grep ssh
或者
sudo ss -tulnp | grep ssh
这两个命令应该显示新的端口号(例如,2022)
防火墙配置(可选)
如果你的服务器上运行了防火墙(如UFW),你可能需要更新防火墙规则以允许新的SSH端口流量。对于UFW,你可以使用以下命令:
sudo ufw allow 2222/tcp
sudo ufw reload
一般到这一步,大部分Linux系统就该完成了,比如我虚拟机的Alpine/debian/Mint
但是我另一台的Ubuntu 24.04.2没有生效,原来除了修改默认的 ssh 配置文件之外,还需要修改 SSH Socket 配置。
Ubuntu 24.04.2需要继续修改
修改 SSH Socket 配置文件
vi /lib/systemd/system/ssh.socket
修改端口
[Socket]
ListenStream=2025
重启服务
sudo systemctl daemon-reload
sudo systemctl restart ssh.socket
依然没生效
需要先临时停止 ssh.socket
systemctl stop ssh.socket
再次重启 ssh
查看监听端口
输出:
tcp6 0 0 :::2025 :::* LISTEN 1/systemd
OK!
OpenWrt固件修改默认ssh端口
OpenWrt需要修改的路径就不一样了,它使用的是dropbear
Dropbear 是一个开源、轻量级的 SSH 服务器和客户端
主要特点是:
- 体积小:比 OpenSSH 小很多,非常适合嵌入式设备、路由器、单板机(如 OpenWrt、树莓派精简系统)等。
- 功能够用:支持 SSH2 协议、密码登录、密钥登录、端口转发等常用功能。
- 依赖少:可以在资源很有限的系统上运行。
- 既有 sshd(服务端)功能,也自带 ssh/scp(客户端)功能。
可以把它理解成 “小号版的 OpenSSH”,功能没那么全,但对大部分日常远程登录、文件拷贝需求已经够用。
OpenWrt的安装方法
opkg update
opkg install dropbear
修改方法:
vim /etc/config/dropbear
option Port 那一行的22修改为你想修改的端口号,比如2022
重启下服务就行了。
OpenWrt 系统下重启dropbear:
/etc/init.d/dropbear: restart
Linux下重启:
sudo systemctl restart dropbear
或者
sudo service dropbear restart
检查服务状态以确认是否成功启动:
sudo systemctl status dropbear
评论区