Come cambiare la tua porta SSH

Secure Shell (SSH) è un metodo affidabile e ampiamente utilizzato per la connessione in modo sicuro a server remoti.Per impostazione predefinita, ascolta la porta 22, una porta ben nota che è spesso mirata da robot automatizzati e tentativi di accesso dannoso.Il passaggio a una porta diversa non renderà invincibile il tuo server, ma può ridurre significativamente il traffico indesiderato e contribuire a migliorare la tua posizione di sicurezza generale.

In questo tutorial, ti accompagneremo attraverso i passaggi per modificare in modo sicuro la porta SSH del tuo server.Lungo la strada, tratteremo come scegliere una nuova porta, aggiornare le regole del firewall, testare la connessione e applicare alcune migliori pratiche aggiuntive per una configurazione SSH più sicura più sicura.

Iniziamo.

Prerequisiti

Prima di cambiare la tua porta SSH, assicuriamoci di avere quanto segue:

• Radice o sudo l'accesso al server: Per modificare le impostazioni di sistema, avrai bisogno di privilegi di amministrazione.Se non sei sicuro di come accedere al tuo server tramite SSH, consultare la nostra guida su Connessione al server tramite SSH
• Una connessione SSH attiva che utilizza la porta predefinita (di solito 22): Mantenere aperta una sessione SSH attiva è una buona idea in caso di malta.
• Accesso al firewall: Per consentire il traffico sulla nuova porta, dovrai modificare le regole del firewall del sistema operativo.
• Conoscenza della riga di comando: Una comprensione di base dovrebbe andare bene.Se hai bisogno di aiuto, il nostro Guida per principianti all'interfaccia di comando è un buon punto di partenza.
• Un nuovo numero di porta SSH: Seleziona una porta tra 1024 e 65535 che non è già in uso.
• Un backup del tuo file di configurazione SSH: Prima di apportare modifiche, è importante eseguire il backup della configurazione SSH per evitare i blocchi:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Scegliere una nuova porta SSH

SSH predefinito per la porta 22, ma è possibile modificarla in qualsiasi porta inutilizzata tra 1024 e 65535.Evita i porti al di sotto di 1024: sono riservati a servizi noti e potrebbero portare a conflitti.Di seguito è riportato un elenco di porte comunemente usate in modo da sapere quali evitare:

Mancia: Scegli un porto che non è comunemente scansionato dall'attaccante, come 2222, 2525 o 50022

Come modificare la porta SSH predefinita

Dopo aver deciso il numero di porta che desideri utilizzare, passiamo attraverso i passaggi su come effettuare l'interruttore.

Passaggio 1: aggiorna il file di configurazione SSH

1.Connect sul server utilizzando la porta SSH corrente (predefinito è 22):

ssh user@your-server-ip

2. Apri il file di configurazione del demone SSH con un editor di testo come Nano:

sudo nano /etc/ssh/sshd_config

3. Trova la riga che specifica la porta SSH predefinita:

#Port 22

4. Riscaliarlo (rimuovi il simbolo#) e cambia il numero sulla tua nuova porta:

Port 2222

(Sostituisci 2222 con il numero di porta preferito.)

5. Salva ed esci dal file.

Passaggio 2: aggiorna le regole del firewall

Se il tuo server ha un firewall abilitato, dovrai aprire la nuova porta SSH nel tuo firewall e chiudere quella vecchia.

Su ubuntu/debian:

sudo ufw allow 2222/tcp
sudo ufw delete allow 22/tcp
sudo ufw reload

Su Centos Rhel con firewalld:

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --remove-service=sshsudo firewall-cmd --reload

Mancia: Assicurati che la modifica della porta si riflettesse in qualsiasi altro strumento di gestione del firewall o gruppi di sicurezza esterni (come quelli in AWS o fornitori di cloud)

Passaggio 3: riavviare il servizio SSH

Dopo aver apportato le modifiche, applica le nuove impostazioni riavviando il servizio SSH:

sudo systemctl restart sshd

Passaggio 4: testare la nuova porta SSH

Prima di chiudere la sessione SSH corrente, apri una nuova finestra del terminale e prova la nuova porta:

ssh -p 2222 user@your-server-ip

Se la connessione funziona, sei pronto.

In caso contrario, torna indietro e ricontrolla il file di configurazione SSH e le regole del firewall o controlla il nostro post più dettagliato su Risoluzione dei problemi di connessione SSH.

Passaggio 5: semplifica le connessioni SSH (opzionale)

Per evitare di digitare il numero di porta ogni volta, è possibile aggiungerlo alla configurazione SSH locale:

1.Pen o creare questo file:

nano ~/.ssh/config

2. Aggiungi quanto segue utilizzando le credenziali (nome server, IP del server, porta #e nome utente):

Host your-server
 	HostName your-server-ip 
	Port 2222 
	User your-username 

Bloccando l'accesso SSH

Cambiare la tua porta SSH è un buon primo passo, ma qui ci sono alcuni altri modi per rafforzare la sicurezza del tuo server:

Disabilita l'accesso al root

Modifica/etc/ssh/sshd_config e imposta:

PermitRootLogin no

Ciò costringe gli utenti ad autenticarsi come utente normale e quindi intensificare i privilegi con Sudo.

Usa l'autenticazione della chiave SSH

Gli accessi basati su password sono più facili da forzare.Il passaggio a SSH Keys rende significativamente più difficile l'accesso non autorizzato.Genera una coppia di chiavi con SSH-Keygen e carica la chiave pubblica sul server.

Imposta fail2ban o strumenti simili

Strumenti come Fail2Ban Monitor Access tentano e vietano temporaneamente IP che non riescono ripetutamente.Questo aiuta a prevenire gli attacchi di forza bruta.

Tieni aggiornato SSH e il tuo sistema operativo

Installare regolarmente gli aggiornamenti per patch eventuali vulnerabilità note.

Monitorare l'attività di accesso

Controlla i registri come /var/log/auth.log (Ubuntu/Debian) o / var / log / sicuro (CentOS/RHEL) Per tenere d'occhio i tentativi di accesso e le potenziali minacce.

Limitare l'accesso SSH con la whitelisting IP

Se solo IP specifici necessitano di un accesso SSH, limita le regole del firewall per consentire solo tali indirizzi.