我真是服了,昨天半夜突发奇想,寻思着把默认的22端口改掉是不是能安全点,毕竟那么多脚本小子天天扫。结果呢?改完直接失联,SSH连不上,控制台也卡,那一刻我以为我辛辛苦苦大半年、堆了几百篇伪原创、外链养了半年的站就这么交代了,脑子里已经开始回放从选老域名到熬夜调TDK(title,description,keywords)的每一个画面。真的,冷汗唰一下就出来了。
抽了两根烟才稳住。这玩意跟做SEO一样,你以为是在优化,其实是在走钢丝。改端口本身没错,但顺序错了,就跟在百度算法更新期间猛堆快排链接一样,纯属自杀。关键步骤你漏一步,比如没先开新端口、没在防火墙放行、甚至配置文件里多打了个空格,你就等着跟你的服务器说再见吧,比网站被K还彻底,收录归零你还能慢慢养,服务器进不去那就是物理层面的死亡。
说下我差点翻车后总结的保命流程(以Linux的SSH为例,Windows远程桌面同理,思路一样):
1. 开新门,别先关旧门! 这是铁律。先用 `sudo vi /etc/ssh/sshd_config` 找到 `#Port 22` 那一行,在下面加一行 `Port 你的新端口号`(比如 23456)。千万,千万,先别注释掉或删除 Port 22 那行! 让新旧端口共存。
2. 给新门发通行证(防火墙)。Ubuntu用UFW:`sudo ufw allow 你的新端口号/tcp`;CentOS用firewalld:`sudo firewall-cmd --permanent --add-port=你的新端口号/tcp`,然后 `sudo firewall-cmd --reload`。这一步不做,新门就是堵死的墙。
3. 重启SSH服务,但别断开当前连接! `sudo systemctl restart sshd`。这时候,你当前的SSH会话(通过22端口连着的这个)不能关! 这是你最后的救命稻草。就像做网站,在把老版网站推倒重做前,你一定要先做个完整的、能访问的备份站。
4. 用新端口开个新窗口测试。 新开一个终端,用 `ssh username@服务器IP -p 你的新端口号` 尝试连接。如果能连上,恭喜,新门通了。
5. 确认新门稳固后,再关旧门。 回到最开始那个没断开的SSH窗口,再次编辑 `sshd_config` 文件,这回可以把 `#Port 22` 注释掉(取消#号)或者直接删掉Port 22那行。然后再重启一次SSH服务:`sudo systemctl restart sshd`。现在,22端口就关闭了。
最后,记住,永远要确保至少有一个活跃的连接在你做这种危险操作的时候保持畅通。这跟做外链建设一样,你不能一下子把老友链全撤了,得等新的、优质的友链稳定收录了再慢慢替换。血的教训,兄弟们,运维和SEO,玩得都是心跳,但前提是得活下来才能玩。
(我后来查日志,发现那两小时里真的有不明IP在疯狂尝试爆破22端口,心里一阵后怕...)
