Como alterar sua porta SSH

O Secure Shell (SSH) é um método confiável e amplamente usado para conectar com segurança a servidores remotos.Por padrão, ele ouve na porta 22-uma porta bem conhecida que é freqüentemente direcionada por bots automatizados e tentativas de login maliciosas.Mudar para uma porta diferente não tornará seu servidor invencível, mas pode reduzir significativamente o tráfego indesejado e ajudar a melhorar sua postura geral de segurança.

Neste tutorial, levaremos você pelas etapas para alterar a porta SSH do seu servidor com segurança.Ao longo do caminho, abordaremos como escolher uma nova porta, atualizar suas regras de firewall, testar a conexão e aplicar algumas práticas recomendadas adicionais para uma configuração SSH mais forte mais forte.

Vamos começar.

Pré-requisitos

Antes de alterar sua porta SSH, certifique -se de ter o seguinte:

• Acesso root ou sudo ao servidor: Para modificar as configurações do sistema, você precisará de privilégios de administrador.Se você não tem certeza de como acessar seu servidor via SSH, consulte o nosso guia sobre Conectando-se ao seu servidor via SSH
• Uma conexão SSH ativa usando a porta padrão (geralmente 22): Manter uma sessão SSH ativa aberta é uma boa idéia em caso de configuração incorreta.
• Acesso ao Firewall: Para permitir o tráfego na nova porta, você precisará modificar as regras de firewall do seu sistema operacional.
• Conhecimento da linha de comando: Um entendimento básico deve estar bem.Se você precisar de ajuda, nosso Guia para iniciantes para a interface da linha de comando é um bom lugar para começar.
• Um novo número da porta SSH: Selecione uma porta entre 1024 e 65535 que ainda não está em uso.
• Um backup do seu arquivo de configuração SSH: Antes de fazer alterações, é importante fazer backup de sua configuração SSH para evitar bloqueios:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Escolhendo uma nova porta SSH

SSH padrão para a porta 22, mas você pode alterá -lo para qualquer porta não utilizada entre 1024 e 65535.Evite portos com menos de 1024-eles são reservados para serviços conhecidos e podem levar a conflitos.Abaixo está uma lista de portas comumente usadas para que você saiba quais se afastar:

Dica: Escolha uma porta que não seja comumente digitalizada pelo atacante, como 2222, 2525 ou 50022

Como alterar sua porta SSH padrão

Depois de decidir o número da porta que você deseja usar, vamos seguir as etapas de como fazer o interruptor.

Etapa 1: Atualize o arquivo de configuração SSH

1. Conecte -se ao seu servidor usando a porta SSH atual (o padrão é 22):

ssh user@your-server-ip

2. Abra o arquivo de configuração do Daemon SSH com um editor de texto como Nano:

sudo nano /etc/ssh/sshd_config

3. Encontre a linha que especifica a porta SSH padrão:

#Port 22

4. Uncommentá -lo (remova o símbolo#) e altere o número para sua nova porta:

Port 2222

(Substitua 2222 pelo seu número de porta preferido.)

5. Salve e saia do arquivo.

Etapa 2: Atualize as regras do firewall

Se o seu servidor tiver um firewall ativado, você precisará abrir a nova porta SSH no seu firewall e fechar a antiga.

No Ubuntu/Debian:

sudo ufw allow 2222/tcp
sudo ufw delete allow 22/tcp
sudo ufw reload

No Centos Rhel com firewalld:

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --remove-service=sshsudo firewall-cmd --reload

Dica: Verifique se a alteração da porta está refletida em qualquer outra ferramenta de gerenciamento de firewall ou grupos de segurança externos (como os da AWS ou fornecedores de nuvem)

Etapa 3: reinicie o serviço SSH

Depois de fazer as alterações, aplique as novas configurações reiniciando o serviço SSH:

sudo systemctl restart sshd

Etapa 4: teste a nova porta SSH

Antes de fechar sua sessão SSH atual, abra uma nova janela do terminal e teste a nova porta:

ssh -p 2222 user@your-server-ip

Se a conexão funcionar, você está pronto.

Caso contrário, volte e verifique o arquivo de configuração SSH e as regras do firewall ou confira nossa postagem mais detalhada sobre problemas de solução de problemas de conexão SSH.

Etapa 5: Facilita as conexões SSH (opcional)

Para evitar digitar o número da porta todas as vezes, você pode adicioná -lo à sua configuração SSH local:

1.pene ou crie este arquivo:

nano ~/.ssh/config

2. Adicione o seguinte usando suas credenciais (nome do servidor, IP do servidor, porta #e nome de usuário):

Host your-server
 	HostName your-server-ip 
	Port 2222 
	User your-username 

Bloqueando o acesso SSH

Alterar sua porta SSH é um bom primeiro passo, mas aqui estão mais algumas maneiras de fortalecer a segurança do seu servidor:

Desative o login da raiz

Editar/etc/ssh/sshd_config e set:

PermitRootLogin no

Isso força os usuários a se autenticarem como usuário regular e depois escalam privilégios com Sudo.

Use a autenticação de chave SSH

Logins baseados em senha são mais fáceis de forçar a força bruta.Mudar para as chaves SSH torna o acesso não autorizado significativamente mais difícil.Gere um par de chaves com ssh-keygen e envie sua chave pública para o servidor.

Configurar Fail2ban ou ferramentas semelhantes

Ferramentas como as tentativas de login do monitor Fail2ban e banem temporariamente IPS que falham repetidamente.Isso ajuda a evitar ataques de força bruta.

Mantenha o SSH e seu sistema operacional atualizado

Instale regularmente atualizações para corrigir qualquer vulnerabilidade conhecida.

Monitore a atividade de login

Verifique os logs como /var/log/auth.log (Ubuntu/Debian) ou / var / log / seguro (Centos/Rhel) para ficar de olho nas tentativas de login e em potenciais ameaças.

Limite o acesso SSH com a lista de permissões IP

Se apenas os IPs específicos precisarem de acesso SSH, restrinja suas regras de firewall para permitir apenas esses endereços.