TOP云提供高性价比云服务器租用,有中国内地/港澳台、海外等全球各地节点,TOP云国内云服务器只要有域名备案号就能直接用,无须重复备案;港澳台及海外云服务器不用备案,购买之后直接使用,省时省力省心。价格实惠,续费同价,2核2G5M仅需27元每月,8核8G50M仅需66元每月,更多配置套餐请进入下面网址了解:
TOP云总站云服务器:https://topyun.vip/server/buy.html
TOP云C站云服务器:https://c.topyun.vip/cart
在云服务器上,默认的 22(SSH) 和 3389(RDP) 端口是否需要修改,取决于你的安全需求和使用场景。以下是详细分析及建议:
一、为什么默认端口可能不安全?
1. 暴力破解风险高
22(SSH) 和 3389(RDP) 是广泛使用的标准端口,黑客会优先扫描这些端口进行暴力破解(如使用工具 Hydra、Medusa)。
攻击者可通过自动化脚本尝试常见密码(如 root/admin + 123456),导致服务器被入侵。
2. 暴露在互联网的风险
如果服务器直接暴露在公网(无防火墙或安全组限制),默认端口会成为攻击目标。
即使有防火墙,攻击者仍可能通过扫描发现开放端口。
3. 日志噪音
默认端口的暴力破解尝试会充斥日志(如 /var/log/auth.log),干扰安全监控。
二、是否必须修改默认端口?
✅ 建议修改的情况
| 场景 | 原因 |
|---|---|
| 生产环境服务器 | 高价值资产,需降低被入侵风险。 |
| 暴露在公网的服务器 | 直接面对互联网,攻击面大。 |
| 重要业务系统 | 如数据库、网站后台,数据泄露代价高。 |
| 合规要求 | 某些行业标准(如等保、GDPR)可能要求修改默认端口。 |
❌ 可不修改的情况
| 场景 | 原因 |
|---|---|
| 内网测试服务器 | 仅在内网使用,无公网IP,风险较低。 |
| 个人开发环境 | 无敏感数据,且已配置强密码/密钥认证。 |
| 已有高级防护 | 如使用 VPN、跳板机、Fail2Ban 等多层防护措施。 |
三、如何安全地修改默认端口?
1. 修改 SSH 端口(22 → 自定义端口,如 2222)
(1) 修改配置文件
sudo nano /etc/ssh/sshd_config
找到 #Port 22,取消注释并修改为:
Port 2222 # 新端口(建议 1024-65535 之间,避开知名端口)
(2) 更新防火墙规则
UFW(Ubuntu):
sudo ufw allow 2222/tcp # 允许新端口
sudo ufw delete allow 22/tcp # 删除旧端口(可选)
sudo ufw enableiptables(通用):
sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
sudo iptables-save | sudo tee /etc/iptables/rules.v4
(3) 重启 SSH 服务
sudo systemctl restart sshd
(4) 测试新端口连接
ssh -p 2222 username@your-server-ip
⚠️ 注意:
修改后必须确保新端口可访问,否则可能导致无法登录!建议先保留旧端口一段时间过渡。
如果使用云服务商(如 AWS/Azure),需在安全组中开放新端口。
2. 修改 RDP 端口(3389 → 自定义端口,如 3390)
(1) 修改 Windows 注册表
打开 regedit,导航至:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到 PortNumber,双击修改为 3390(十进制)。
重启服务器生效。
(2) 更新防火墙规则
sudo ufw allow 3390/tcp # Ubuntu
sudo iptables -A INPUT -p tcp --dport 3390 -j ACCEPT # Linux
⚠️ 注意:
Windows 远程桌面默认仅允许本地连接,需额外配置远程访问权限。
四、修改端口后的安全增强措施
1. 禁用密码登录(仅允许密钥认证)
# 编辑 SSH 配置 sudo nano /etc/ssh/sshd_config
修改以下参数:
PasswordAuthentication no # 禁用密码登录
PubkeyAuthentication yes # 启用密钥认证
重启 SSH:
sudo systemctl restart sshd
✅ 优势:即使端口被扫描,攻击者也无法通过暴力破解登录。
2. 使用 Fail2Ban 阻止暴力破解
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
配置针对 SSH 的防护(编辑 /etc/fail2ban/jail.local):
[sshd]
enabled = true
port = 2222 # 新端口
maxretry = 3
bantime = 1h
3. 限制访问 IP(仅允许可信IP连接)
UFW 示例:
sudo ufw allow from 192.168.1.100 to any port 2222 # 仅允许特定IP
云安全组:在 AWS/Azure 控制台配置入站规则,限制源IP。
4. 定期检查日志
sudo tail -f /var/log/auth.log # Linux SSH 日志
监控是否有异常登录尝试。
五、不修改端口的替代方案
如果不想修改默认端口,可通过以下方式提升安全性:
启用密钥认证(禁用密码登录)。
使用 Fail2Ban 阻止暴力破解。
配置云安全组:仅开放给特定IP或VPN。
使用 VPN + 跳板机:所有访问通过内网跳板机中转。
六、总结与建议
| 场景 | 是否修改端口 | 推荐措施 |
|---|---|---|
| 生产环境/公网服务器 | ✅ 必须修改 | 修改端口 + 密钥认证 + Fail2Ban + 限制IP |
| 内网测试环境 | ❌ 可不修改 | 启用密钥认证 + 云安全组限制IP |
| 个人开发机 | ❌ 可不修改 | 使用强密码 + Fail2Ban + VPN |
最佳实践:
生产环境:修改默认端口(如 SSH 2222,RDP 3390) + 密钥认证 + 防火墙限制。
非生产环境:若无公网暴露,可保留默认端口但启用密钥认证和监控。
通过合理配置,即使不修改端口也能保障安全,但修改端口能显著降低被扫描攻击的风险! 🔒
