腾讯云企业实名代过 腾讯云国际站轻量服务器修改SSH端口
前言:SSH 端口改不改?改了真的更安全吗?
很多人第一次上腾讯云国际站的轻量服务器时,都会先做一件事:把 SSH 端口改掉。原因很朴素——“别人默认扫 22 端口,我们就别让他们扫得那么舒服”。
我也不反对这个想法。毕竟在安全这件事上,能少被噪声打扰一点,就少一点风险。不过也要先把话说透:改 SSH 端口不是魔法。它更像把门外的门铃换了个位置——你仍然得关好门、装好锁、最好还别只靠门铃。
那么这篇文章就按“能落地、能执行、少踩坑”的思路来写:从准备工作、怎么找到国际站轻量服务器的管理入口、到具体修改端口的步骤,再到如何验证、如何修复常见错误。你照着做,基本就能成功把 SSH 端口换掉。
准备工作:在改端口之前,你得先活着
在开始动 SSH 配置之前,请先确认三件事:
1)你有服务器的控制台访问权限
改错端口之后最常见的情况是:你把自己“关”在外面了。好消息是轻量服务器通常有 Web 控制台或终端入口,你可以在那里面修回配置。所以你至少得确保自己能登录到实例的控制台。
2)你知道当前系统是什么
常见是 Ubuntu 或 Debian,少数是其他发行版。本文会以 Debian/Ubuntu 风格命令为主(比如使用 systemctl、ufw 或直接操作 iptables)。如果你是 CentOS 系,思路类似,但命令略不同。
3)准备好一个你打算使用的新端口
别太随意。建议选一个高位端口(例如 22022、22222、33900 之类)。但更重要的是:新端口必须在防火墙层面允许,不然你改了也等于白改。
为什么要修改 SSH 端口:听起来像玄学,但其实是工程
腾讯云企业实名代过 把 SSH 端口从 22 改掉,能减少大量“自动化扫端口”的撞库。尤其在很多人还在用密码登录、或还没配置失败锁定的情况下,22 端口确实会吃到更多来自互联网上的“问候”。
不过你要记住:真正决定安全性的通常是:
- 是否禁用了密码登录(推荐密钥登录)
- 是否限制了允许登录的用户
- 是否做了防火墙/访问控制(至少只允许你的 IP)
- 是否定期更新系统与 SSH 服务
因此我们把“端口修改”当作第一道减噪措施,而不是最后一道保险。
第一步:登录腾讯云国际站并找到你的轻量服务器
下面这部分可能会随着界面微调而略有差异,但大体流程通常一致:
- 登录腾讯云国际站控制台。
- 进入“云产品/轻量服务器”相关页面。
- 找到你要操作的那台轻量服务器实例。
- 进入实例的“管理”或“更多”菜单。
- 找到“远程登录/控制台/终端”入口,确保你能进入系统。
你不需要一边听我说一边找按钮(你可能更擅长自己找),但你至少要先确认:你能进服务器,能执行命令。
第二步:连接服务器(建议用密钥或临时保留会话)
如果你已经能用当前 SSH(默认端口 22)登录,那就保留当前会话或者开一个新的会话窗口。因为改端口会让当前会话可能继续工作(大概率不会立刻断),但下一次连接就会失败。
在操作过程中,你可以:
- 继续在当前会话中编辑配置并重启服务
- 如果担心断连,就在控制台里操作(控制台一般不会受本地 SSH 断连影响)
一句话:别把自己变成无法访问的“神秘访客”。
第三步:在服务器上修改 SSH 配置文件
SSH 的主要配置文件一般在:
/etc/ssh/sshd_config
接下来按步骤来。
1)备份配置文件
先备份是工程师的浪漫:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak_$(date +%F)这样万一后面改错,你能迅速回滚。
2)编辑 sshd_config,修改 Port
打开配置文件(你可以用 nano 或 vim)。例如:
sudo nano /etc/ssh/sshd_config找到类似这一行(可能有注释符号 #):
#Port 22把它改成:
Port 22022如果原文件没有该行,你可以在合适位置加一行。
注意:不要乱改其他内容,尤其是 ListenAddress、AllowUsers、PasswordAuthentication 这种涉及权限的项。我们只先把端口改掉。
3)可选:顺手做点安全加固(建议)
端口改了之后,你可以顺便做点常见加固,比如:
- 禁用密码登录:
PasswordAuthentication no - 允许密钥:
PubkeyAuthentication yes(多数情况下默认是 yes) - 禁止空密码、关闭不必要功能(按需)
如果你现在还依赖密码登录,别急着关掉 PasswordAuthentication。你可以先确认密钥登录没问题再开启禁用。
例如(仅在你确认有密钥可用时再做):
sudo nano /etc/ssh/sshd_configPasswordAuthentication no腾讯云企业实名代过 改完记得保存退出。
第四步:检查配置并重启 SSH 服务
改完配置后,不要直接“拍脑袋重启”。先检查语法,避免你把配置写成了不可解析的“文学作品”。
1)校验 sshd 配置
sudo sshd -t如果没有任何输出且返回正常,通常表示配置没问题。
2)重启 SSH 服务
使用 systemd:
sudo systemctl restart ssh或者某些系统服务名可能是:
sudo systemctl restart sshd如果你不确定服务名,可以先查一下:
systemctl status ssh3)确认 SSH 正在监听新端口
你可以用下面任一条命令:
sudo ss -tulpn | grep 22022或:
sudo netstat -tulpn | grep 22022能看到 sshd 在新端口监听,基本就大功告成。
第五步:在腾讯云侧放行新端口(这一步经常导致“怎么连不上”)
很多人改了服务器里的 SSH 端口,但在云控制台里安全组/防火墙规则还放着 22,于是你就会出现经典现象:
“服务器里明明在监听 22022,我本地连却连不上。”
这通常是外部入口没放通。
轻量服务器常见会有以下控制入口(名称可能略有不同):
- 安全组(Security Group)
- 防火墙策略
- 访问控制规则
你需要做的是:允许 TCP 新端口(例如 22022),并最好限制来源 IP。
放行策略建议
- 仅放行你的办公网络/家庭宽带 IP(最安全)
- 如果你 IP 会变动,就放一个你能控制的范围,或暂时放宽再收紧
- 不要把端口随便暴露给全世界(除非你很有经验并且做了多层安全)
端口 22 是否需要关闭?
如果你已经把 SSH 配置端口改为 22022,那么服务器端默认就不会在 22 上监听。但云侧可能还允许了 22,虽然不一定“有服务可连”,但建议你也同步收敛:
- 优先只保留新端口的放行
- 然后把 22 的入口策略移除或至少收紧
这样你才真的从“减少噪声”升级为“减少无意义风险”。
第六步:本地使用新端口测试连接
改完服务器并放行之后,你需要在本地验证。
Linux/macOS 测试
ssh -p 22022 user@你的服务器IP把 user 换成你的用户名,把 IP 换成服务器的公网 IP 或域名。
Windows 测试(PowerShell / CMD)
如果你系统自带 OpenSSH:
ssh -p 22022 user@你的服务器IP如果你用的是客户端软件(比如带界面那种),在连接设置里把端口填成新端口即可。
验证除了“能连上”还要看什么?
- 登录成功后,确认你连接的是预期机器
- 检查你是否仍然可以正常使用密钥登录(如果你禁用了密码)
- 观察后续是否有异常行为(例如频繁失败)
常见故障排查:连不上时别慌,按顺序查
连不上通常分几类原因。我给你一个“先省时间后省命”的排查顺序。
故障一:改了端口,但云控制台没放行
表现:本地超时或连接被拒。
解决:放行 TCP 新端口(22022),最好限制来源 IP。
故障二:SSH 服务没重启成功
腾讯云企业实名代过 表现:新端口监听不存在。
检查:在服务器上执行 ss -tulpn 看是否监听新端口;查看日志:
sudo systemctl status ssh以及:
sudo journalctl -u ssh -n 50 --no-pager故障三:sshd_config 配错了(语法错误)
表现:重启失败,日志提示配置错误。
解决:执行:
sudo sshd -t把报错行找出来,再改回正确格式。
故障四:你禁用了密码登录,但密钥没配好
表现:端口连上了,但认证失败。
解决:确认你的 ~/.ssh/authorized_keys 是否正确、权限是否合规(例如 .ssh 目录权限、authorized_keys 权限)。
典型权限建议(可按实际情况确认):
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys故障五:你以为改了,其实配置没生效(写错文件)
有些人编辑了错误路径或编辑了备份文件。
建议你直接:
grep -n '^Port' /etc/ssh/sshd_config看看是否真的写进了主配置。
进一步建议:别只改端口,来点“真正能打”的安全配置
如果你已经把端口改成功了,接下来可以做一些更实用的增强。这里我列几个优先级高、性价比高的:
1)只允许你的 IP 登录
这基本是“安全性收益最高”的操作。云侧安全组和服务器本地防火墙都能做。能在云侧做就尽量在云侧做,省事且更直观。
2)使用密钥登录,并禁用密码登录
腾讯云企业实名代过 密钥比密码强太多。只要你别把私钥到处乱丢,并且设置好 passphrase(可选但推荐),基本就稳了。
3)设置登录失败策略(可选)
比如 Fail2ban 这种工具,能对异常登录进行封禁。它不是必须,但当你把端口改了还想更清净时,它很合适。
4)及时更新系统与 SSH
安全更新有时候不是“你不做就没事”,而是“不做就早晚会出事”。定期升级是长期主义。
一个小提醒:别忘了“下次怎么连”
很多人改完端口就立刻开心地关闭电脑,然后过几天换个网络、换个环境,发现连不上,才想起来要加 -p 参数。
所以你可以在本地 SSH 配置文件里写一个快捷项(比如 ~/.ssh/config)。示例:
Host my-server
HostName 你的服务器IP
User 你的用户名
Port 22022以后直接:
ssh my-server是不是立刻从“手动输入端口”变成了“傻瓜式连接”?省脑子就是生产力。
结语:端口是门把手,安全是整套门锁
总而言之,腾讯云国际站轻量服务器修改 SSH 端口这件事,核心步骤就三段:
- 在服务器上改
/etc/ssh/sshd_config的Port,并重启服务。 - 在腾讯云侧放行新端口(最好限制来源 IP)。
- 本地用新端口测试连接,必要时排查监听、服务重启、认证方式。
改端口只是减噪,但减噪往往能让你更安心。更重要的是:把密钥登录、权限控制、防火墙策略这些“真正的锁”也一并安排好。这样你不仅能连得上,还能稳得住。
如果你愿意,我也可以按你当前系统(Ubuntu / Debian / CentOS)、你用的登录方式(密码/密钥)、你的防火墙策略(是否用安全组)来给你做一份更贴合你环境的“定制版操作清单”。你把信息发我就行。
