现象场景:
客户使用操作系统,使用系统默认远程端口风险较大,容易被扫描以及***,容易因端口***而无法远程服务器,需要修改默认远程端口为不常见的端口,提高服务器的安全性。
修改远程端口需要在服务器注册表和防火墙中进行修改,再重启远程服务,使之生效。下面介绍windows和Linux的修改方式:
一、修改windows默认远程端口
以Windows Server 2012系统进行修改
1、修改注册表在操作系统界面中,
打开 “Windows PowerShell” 窗口。
在 “Windows PowerShell” 窗口中,输入 regedit,按 Enter,打开 “注册表编辑器” 窗口。
在左侧的注册表导航中,依次展开【HKEY_LOCAL_MACHINE】>【SYSTEM】>【CurrentControlSet】>【Control】>【Terminal Server】>【Wds】>【rdpwd】>【Tds】>【tcp】目录。
找到【tcp】中的 PortNumber,并将 PortNumber 数据(即3389端口号)修改为0 - 65535之间未被占用端口。如下图所示:
在左侧的注册表导航中,依次展开【HKEY_LOCAL_MACHINE】>【SYSTEM】>【CurrentControlSet】>【Control】>【Terminal Server】>【WinStations】>【RDP-Tcp】目录。
找到【RDP-Tcp】中的 PortNumber,并将【RDP-Tcp】中的 PortNumber 数据(端口号)修改为与【tcp】中的 PortNumber 数据(端口号)一致的端口号。
2、修改防火墙在 “Windows PowerShell” 窗口中,输入 wf.msc,按 Enter,打开 “高级安全 Windows 防火墙” 窗口。
在 “高级安全 Windows 防火墙” 窗口中,选择【入站规则】,单击【新建规则】。如下图所示:
在 “新建入站规则向导” 窗口的 “规则类型” 步骤中,选择【端口】,单击【下一步】。
在 “新建入站规则向导” 窗口的 “协议和端口” 步骤中,选择【TCP】,并将【特定本地端口】填写为 设置的端口号,单击【下一步】。如下图所示:
在 “新建入站规则向导” 窗口的 “操作” 步骤中,选择【允许连接】,单击【下一步】。
在 “新建入站规则向导” 窗口的 “配置文件” 步骤中,使用默认配置即可,单击【下一步】。
在 “新建入站规则向导” 窗口的 “名称” 步骤中,填写规则名称,单击【完成】。
重启远程服务,在 “Windows PowerShell” 窗口中,输入 services.msc,按 Enter,打开 “服务” 窗口。
在 “服务” 窗口中,找到【Remote Desktop Services】,并右键单击【Remote Desktop Services】,选择【重新启动】,重启远程登录服务。进行验证,输入mstsc,打开远程桌面连接对话框,在【计算机】后面,输入 Windows 服务器的公网 IP:修改后的端口号,单击【连接】。如下图所示:
二、修改Linux默认远程端口
Linux默认SSH端口号为22,建议先添加新的SSH端口号,测试可以SSH,再删除22端口号,这样有备无患,可以保证新的端口号无法连接时,依然可以使用22端口号进行SSH。
以CentOS7操作系统为例
1、修改ssh配置文件
vim /etc/ssh/sshd_config
按 i 切换至编辑模式,增加新端口内容,在 #Port 22 下新增一行 Port 新端口号,并把Port 22 的注释删除(即删除前面的#)。如下图所示:
例如 Port 23456。
按 Esc,输入 :wq,保存内容并返回。
2、重启SSH服务
systemctl restart sshd.service
3、防火墙修改,CentOS7默认使用Firewalld服务作为防火墙,以新增的端口号23456为例
firewall-cmd --add-port=23456/tcp --permanent
firewall-cmd --reload
返回结果为success,表示放行成功
4、进行验证,以远程登录软件PuTTY为例
输入公网IP,将Port设置为新的端口号,如图,单击Open
