2025年11月10日

在宝塔安全删除22端口会连接不上服务器

by ATNClock

在使用宝塔面板进行服务器安全设置时，很多管理员会删除SSH的默认22端口以提高安全性。但如果操作不当，可能会导致无法通过SSH连接服务器的严重问题。

问题描述

在宝塔面板的”安全”设置中，为了提高SSH连接的安全性，我们通常会：

删除默认的22端口
添加自定义端口（如2222端口）
重启SSH服务

但在某些情况下，完成这些操作后会发现无法通过SSH连接服务器，即使使用新端口也不行。

原因分析

1. 云服务商安全组限制

大多数云服务器（如阿里云、腾讯云、华为云等）都有自己的安全组规则：

安全组作为第一道防火墙，控制端口访问
即使服务器内部开放了端口，如果安全组没有放行，外部仍无法访问
删除22端口时可能同时影响了安全组规则

2. 防火墙规则冲突

iptables或firewalld规则可能阻止新端口
宝塔面板的防火墙规则与系统防火墙规则冲突
SELinux或AppArmor的安全策略限制

3. SSH配置问题

SSH配置文件中的端口设置不正确
SSH服务未成功重启
配置文件语法错误导致服务启动失败

解决方案

方法一：检查云服务商安全组设置

登录云服务商控制台
- 阿里云：进入ECS实例 → 安全组 → 配置规则
- 腾讯云：进入CVM实例 → 安全组 → 管理规则
- 华为云：进入ECS实例 → 安全组 → 管理规则

添加入站规则

协议：TCP
端口范围：2222（或你的自定义端口）
授权对象：0.0.0.0/0（或特定IP地址）

确保规则优先级正确
- 放行规则应该在拒绝规则之上
- 如果有拒绝22端口的规则，确保不会影响新端口

方法二：通过云服务商控制台连接

如果SSH无法连接，可以使用云服务商提供的临时连接方式：

阿里云：使用Workbench远程连接
腾讯云：使用标准登录方式或WebShell
华为云：使用远程登录

连接后检查和修复SSH配置。

方法三：检查SSH配置文件

查看SSH配置
```
sudo nano /etc/ssh/sshd_config
```

确认端口设置

Port 22
Port 2222  # 你的自定义端口

检查其他关键配置

PermitRootLogin yes  # 如果需要root登录
PasswordAuthentication yes  # 如果使用密码登录

重启SSH服务

sudo systemctl restart sshd
# 或
sudo service sshd restart

方法四：检查防火墙规则

检查iptables
```
sudo iptables -L -n
```

放行新端口

sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
sudo iptables-save

或使用firewalld

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

最佳实践

1. 安全的端口修改流程

先添加新端口，再删除旧端口
- 在SSH配置中同时保留22和新端口
- 确保新端口工作正常后再删除22端口
先配置安全组，再修改SSH配置
- 在云服务商控制台先放行新端口
- 再修改服务器内部的SSH配置
测试连接后再关闭旧端口
- 使用新端口成功连接后再删除22端口

2. 端口选择建议

避免使用常用端口（如8080、4433等）
选择10000-65535范围内的端口
使用容易被记住的端口号，如2222、3333等

3. 备份重要配置

修改前备份SSH配置文件：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

应急方案

如果完全无法连接服务器：

使用VNC或KVM
- 通过云服务商的控制台访问
- 进入救援模式修复配置
重置系统
- 作为最后手段，可以重置系统
- 提前备份重要数据
联系技术支持
- 云服务商的技术支持可能提供帮助
- 部分服务商提供紧急恢复服务

总结

修改SSH端口是提高服务器安全性的重要措施，但需要谨慎操作：

永远先添加新端口，再删除旧端口
注意云服务商安全组设置
修改前做好配置备份
测试完成后再关闭旧端口

遵循这些原则可以安全地完成SSH端口修改，避免连接问题的发生。