SSH是一种远程登录协议，在网络安全领域已经被广泛采用。然而，SSH的默认端口号是22，这也成为了攻击者定向攻击的首要目标。本文将详细介绍SSH默认端口的安全风险和替代方案，以帮助读者更好地保护服务器的安全。

一、SSH默认端口号的安全风险

攻击者可以通过扫描22号端口，获取远程服务器的连接地址和SSH服务版本信息，并针对性地进行攻击。这种攻击方式比较常见，被称为SSH暴力破解或者SSH钓鱼攻击。

1. SSH暴力破解

攻击者使用字典等工具枚举所有可能的密码组合，通过SSH登录认证的方式获取系统权限。如果SSH端口使用22，攻击者可以利用已有的暴力破解工具，大规模尝试密码。而如果将SSH端口修改为其他端口，则能有效减少攻击者的攻击范围，提高安全性。

2. SSH钓鱼攻击

攻击者伪造SSH服务，通过改变公钥或者中间人攻击等方式获取服务器信息，进而进行恶意操作。如果SSH端口使用22，则攻击者可以直接发动钓鱼攻击。而如果将SSH端口改为其他端口，则攻击者需要耗费更多的时间去模拟认证过程，降低了攻击成功的概率。

二、SSH端口号的修改

为避免默认端口号的安全风险，我们可以通过修改SSH端口号的方式来增加服务器的安全性。

1. 修改SSH配置文件

将默认的22端口号改为其他端口，减少了受到攻击的可能性。

# 修改SSH服务器的配置文件
$ sudo vi /etc/ssh/sshd_config
# 找到 "Port 22" 将22修改为8888
Port 8888

2. 重启SSH服务

修改完端口号之后，需要重启SSH服务，使配置文件生效。

# 重启SSH服务
$ sudo systemctl restart sshd.service

三、端口号的替代方案

为避免用户手动修改端口号时意外破坏服务器的设置，我们可以使用一些替代方案。

1. 使用iptables进行端口转发

在保持22号端口监听的情况下，使用iptables将请求转发到其他的端口号，以此来保障SSH服务的正常运转。

# 将发送到端口2222的连接请求转发到SSH默认端口22
$ sudo iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-ports 22

2. 使用负载均衡与反向代理软件

使用负载均衡与反向代理软件（如Nginx）对22号端口进行包装，然后对其进行转发，以实现SSH服务的正常连接。

# 使用Nginx进行转发，将请求在Nginx上处理，而不是直接到达SSH服务器
$ sudo vi /etc/nginx/nginx.conf
# 添加如下配置
upstream ssh {
    server 127.0.0.1:22;
}
server {
    listen 2222;
    server_name ssh.example.com;
    location / {
        proxy_pass ssh;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

四、总结

SSH在管理服务器方面具有非常重要的作用。然而，SSH默认端口号的安全风险不能被忽视。为保障SSH服务的安全，我们可以使用端口号修改和替代方案等措施。通过比较不同的方案，结合具体情况选择最合适的方案，有助于提高服务器的安全性。

版权属于：周晨

本文链接：https://wenziju.com/index.php/archives/844/

本博客所有文章除特别声明外，均采用知识共享署名-非商业性使用-相同方式共享 3.0 中国大陆许可协议。转载请注明出处！