在使用Linux服务器时我们通常会使用SSH来连接到服务器以便使用命令行操作。
而通过SSH远程连接Linux服务器使用的默认端口是22,这让攻击者可以使用暴力猜解的方式登录至服务器。
所以我们除了要将系统密码修改成强度较高的类型外还可以将默认端口修改掉来提高安全性。
绝大多数服务器供应商都不会修改默认端口,也不会限制用户自行修改端口。
不过也有诸如Bandwagonhost(俗称搬瓦工)这类供应商不但限制端口还会限制密码。
Bandwagonhost采取的策略是系统随机生成端口号和密码,不允许用户自行修改。
显然这种方式还是能把安全性提高不少的,如下图:
上图中显示的信息有我登录之前已经有过3次的失败登录了,而我两次登录之间只有1个小时左右。
事实上这台服务器每天都会有超过3000次的失败登录,基本上都是攻击者的脚本二十四小时不停的扫描各种N台服务器尝试猜解。
一、修改Linux服务器的登录密码
通过SSH连接到服务器后输入passwd并回车即可更改密码,Linux下输入密码都是不显示的。
所以在这里你可以放心的输入密码,最好是16位以上大小写数字符号组合的密码提高强度。
第一遍输入完成后会要求再输入一遍来确认密码,两次一致的情况下就可以成功更改密码了。
二、修改SSH连接的默认端口号
SSH连接默认的端口号是22,我们先添加一个位数较长的端口(5位数的)。
输入以下命令通过vim编辑器直接修改:
vim /etc/ssh/sshd_config
在#Port 22下另起一行输入Port 21469并保存sshd_config文件,如果你不想直接编辑也可以FTP下载该文件使用本地编辑器进行修改。(Port 21469只是举例)
小贴士:#Port 22带#号的原因意在提醒你如果需要修改则更改这里并删除#号,无论是否删除#Port 22这一行默认端口都是22哦。
修改成功后重启SSH服务以便刚刚的修改生效:
/etc/init.d/sshd restart
然后使用新端口也就是刚刚的21469端口连接SSH,然后编辑防火墙规则屏蔽掉22端口:
vim /etc/sysconfig/iptables
在这一行前面添加#号删除并保存:
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
然后重启iptables使其生效:
/etc/init.d/iptables restart
注意:若要屏蔽22端口连接需要使用iptables,有关iptables的使用规则请自行查询。