随着远程办公、服务器运维以及个人开发项目日益频繁，越来越多的人开始使用VPS（虚拟专用服务器）来部署网站、搭建环境或托管服务。然而，在默认配置下，VPS常常面临诸如暴力破解、端口扫描等安全威胁。为了增强服务器的防护能力，更改默认的SSH端口是一种简单而有效的方式。

本篇文章将带你详细了解为什么要更改SSH默认端口、如何操作，以及更改端口后需要注意的事项，帮助你一步步提升VPS的安全性。

一、为什么要更改默认SSH端口？

Linux系统的SSH服务默认监听22号端口，这是众所周知的事实。大多数恶意攻击者正是利用这一点，通过端口扫描工具批量寻找开放22端口的主机，并尝试进行密码爆破攻击。

虽然更改端口不能从根本上阻止黑客入侵，但它起到了“隐藏入口”的作用，可以显著减少扫描频率和暴力破解的概率，属于“安全加固”的第一步。

二、更改SSH端口的操作步骤

以下以Ubuntu或Debian为例进行讲解，其它Linux发行版操作类似。

1. 登录你的VPS

使用SSH工具连接服务器：

ssh root@服务器IP地址

2. 备份SSH配置文件

以防误操作导致连接不上，先备份原始配置文件：

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

3. 编辑配置文件

使用nano或vi编辑sshd配置文件：

nano /etc/ssh/sshd_config

找到以下内容：

#Port 22

去掉注释符号#，并将22改为你想使用的端口号，例如22222：

Port 22222

注意：不要选择被常见服务占用的端口，如80、443、3306等。推荐使用1025以上的非标准端口。

4. 配置防火墙

如果启用了防火墙（如UFW），需要允许新的端口：

ufw allow 22222/tcp

同时保留原端口一段时间（如22），以防新端口配置失败。

5. 重启SSH服务

保存文件后，执行以下命令重新启动SSH服务：

systemctl restart ssh

也可以使用：

service ssh restart

6. 测试新端口连接

不要立即关闭原连接，建议开一个新终端测试：

ssh -p 22222 root@服务器IP地址

确保连接成功后，再考虑关闭原端口的访问。

三、更改端口后的后续建议

虽然修改端口可以减轻扫描压力，但仍需搭配其他安全策略才能最大限度保障服务器安全：

• 启用密钥登录：关闭密码登录，仅允许公钥方式访问。
• 安装Fail2ban：监控SSH登录失败次数并封禁恶意IP。
• 定期检查登录日志：使用last或journalctl查看登录记录。
• 关闭root账户远程登录：使用普通用户登录后再提权。
• 使用防火墙策略：只允许特定IP或IP段访问SSH服务。

四、常见问题与排查

1. 更改端口后连不上服务器怎么办？

可能原因包括：

• 新端口未开放或被防火墙拦截
• 配置文件语法错误导致SSH服务未成功启动
• 客户端未指定新端口

解决方案：通过控制台访问VPS（如云平台自带终端），恢复sshd_config备份文件。

2. 更换端口会影响其它服务吗？

不会。SSH端口修改只影响远程登录，不会影响网站、数据库或邮件等其它服务。

五、总结

更改VPS默认SSH端口是提升服务器安全性的有效措施之一。虽然这并不是万能的安全策略，但却能在抵御脚本扫描、延缓攻击者入侵方面发挥重要作用。配合合理的防火墙设置、密钥登录和登录限制机制，能够大幅增强VPS的防护能力。

作为服务器的管理者，应持续关注安全实践和运维规范，将“安全优先”作为部署和使用VPS的前提。哪怕是一个简单的端口更改，也体现出你对服务器安全的重视与专业。