LINUX SSH修改默认22/添加端口

　　通常ssh远程登录的默认端口是22，但是因为端口22属于高危端口，因此很多时候作为服务器会被关掉，不过这个端口一般是可以更改或者添加的，这样除了22端口，也可以通过别的端口进行访问。

1.首先修改配置文件　　

　　vim /etc/ssh/sshd_config

　　找到Port 22一段，这里是标识默认使用22端口，修改为如下：

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
Port 10001
#AddressFamily any

2.重启SSH服务

　　执行/etc/init.d/sshd restart　或者  systemctl restart sshd.service。

　　这样SSH端口将同时工作与22和10001上。

3.编辑防火墙配置

　　添加上端口10001：vi /etc/sysconfig/iptables

-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10001 -j ACCEPT

4.重启防火墙

　　执行/etc/init.d/iptables restart

　　由于Linux版本不一样，不支持这种重启方式请参考：RHEL7、CentOS7防火墙管理

3.验证SSH端口是否修改成功

　　window系统可以用Xshell重连或者telnet  ip port，或者Linux系统使用ssh -p 10001 hostname进行连接测试。

　　添加则设置成两个端口，如果要修改默认端口，则测试成功后再关闭一个端口，是为了方式在修改conf的过程中，万一出现掉线、断网、误操作等未知情况时候，还能通过另外一个端口连接上去调试以免发生连接不上。

 

　　如果要修改默认的22端口，还需要做以下操作：

1）先添加一个维护账号：msa

2）然后su - msa

3）ssh-keygen -t rsa
　　指定密钥路径和输入口令之后，即在/home/msa/.ssh/中生成公钥和私钥：id_rsa id_rsa.pub

4）cat id_rsa.pub >> authorized_keys
　　至于为什么要生成这个文件，因为sshd_config里面写的就是这个。
　　然后chmod 400 authorized_keys，稍微保护一下。

5）用psftp把把id_rsa拉回本地，然后把服务器上的id_rsa和id_rsa.pub干掉

6）配置/etc/ssh/sshd_config
　　Protocol 2
　　ServerKeyBits 1024
　　PermitRootLogin no  #禁止root登录而已，与本文无关，加上安全些

#以下三行没什么要改的，把默认的#注释去掉就行了
　　RSAAuthentication yes
　　PubkeyAuthentication yes
　　AuthorizedKeysFile    .ssh/authorized_keys

　　PasswordAuthentication no
　　PermitEmptyPasswords no

7）重启sshd
　　/sbin/service sshd restart

8）转换证书格式，迁就一下putty
　　运行puttygen，转换id_rsa为putty的ppk证书文件

9）配置putty登录
　　在connection--SSH--Auth中，点击Browse,选择刚刚转换好的证书。
　　然后在connection-Data填写一下auto login username，例如我的是msa
　　在session中填写服务器的IP地址，高兴的话可以save一下

10）解决一点小麻烦
　　做到这一步的时候，很可能会空欢喜一场，此时就兴冲冲的登录，没准登不进去：
　　No supported authentication methods available

　　这时可以修改一下sshd_config，把PasswordAuthentication no临时改为：PasswordAuthentication yes 并重启sshd

　　这样可以登录成功，退出登录后，再重新把PasswordAuthentication的值改为no，重启sshd。以后登录就会正常的询问你密钥文件的密码了，答对了就能高高兴兴的登进去。

　　至于psftp命令，加上个-i参数，指定证书文件路径就行了。