还在用默认 22 端口?这个脚本教你修改 SSH 端口并避开 90% 的暴力破解

一、脚本概述

用于修改 SSH 服务配置的 Bash 脚本。通过运行该脚本，用户可以方便地对 SSH 服务的多个重要配置项进行修改，如修改 SSH 端口号、禁用 root 用户登录、禁用密码登录等。同时，脚本在运行前会对原始的 SSH 配置文件进行备份，以防止配置修改出现问题。

二、环境要求

• 操作系统：该脚本主要适用于基于 Linux 系统且使用 sshd 作为 SSH 服务端的环境，例如 CentOS、Ubuntu 等。
• 权限：由于脚本需要修改 /etc/ssh/sshd_config 配置文件以及可能涉及防火墙操作，因此必须以 root 用户身份运行。

三、脚本使用步骤

1. 下载脚本

将脚本保存为一个文件，例如 ssh_config_modifier.sh。可以使用文本编辑器创建该文件，并将脚本内容复制进去。

2. 赋予执行权限

在终端中，使用 chmod 命令为脚本赋予执行权限：

chmod +x ssh_config_modifier.sh

3. 运行脚本

以 root 用户身份运行脚本：

sudo ./ssh_config_modifier.sh

如果当前用户不是 root，脚本会提示 “ 请使用 root 用户运行此脚本”，并退出运行。

4. 备份原始配置

脚本在运行时会自动对 /etc/ssh/sshd_config 文件进行备份，备份文件的命名规则为
sshd_config.bak.YYYY-MM-DD-HHMMSS，其中 YYYY-MM-DD-HHMMSS 是备份时的日期和时间。备份完成后，会输出提示信息 “ 已备份配置到:
/etc/ssh/sshd_config.bak.YYYY-MM-DD-HHMMSS”。

5. 选择操作

脚本会显示一个菜单，列出可以进行的操作选项：

请选择一个操作:

1) 修改 SSH 端口号

2) 禁用 root 用户登录

3) 禁用密码登录

4) 只允许特定用户登录

5) 禁止空密码用户登录

6) 设置最大认证尝试次数

7) 设置登录超时时间

8) 禁用 DNS 反向查找（加快登录速度）

9) 返回

请输入选择项（数字）:

用户需要输入相应的数字来选择要执行的操作。

6. 具体操作说明

6.1 修改 SSH 端口号（选项 1）

• 脚本会提示用户输入新的 SSH 端口号，端口号范围为 1 - 65535

请输入新的 SSH 端口号（1-65535）:

• 如果输入的端口号有效，脚本会将新的端口号写入 /etc/ssh/sshd_config 文件，并提示 “ 已设置 SSH 端口为 [端口号]，别忘记在防火墙中放开该端口！”。
• 如果输入的端口号无效，脚本会提示 “ 无效端口号，请输入有效的端口号！”，并再次显示菜单供用户重新选择。

6.2 禁用 root 用户登录（选项 2）

• 选择该选项后，脚本会将 /etc/ssh/sshd_config 文件中的 PermitRootLogin 配置项设置为 no，表示禁止 root 用户通过 SSH 登录。
• 操作完成后，会提示 “ 已禁用 root 用户登录”。

6.3 禁用密码登录（选项 3）

• 选择该选项后，脚本会提示用户 “ 你选择了禁用密码登录，请确保你已设置 SSH 密钥，否则可能无法登录！”，并询问用户是否继续禁用密码登录：

是否继续禁用密码登录？(yes/no):

• 如果用户输入 yes，脚本会将 /etc/ssh/sshd_config 文件中的 PasswordAuthentication 配置项设置为 no，并提示 “ 已禁用密码登录”。
• 如果用户输入 no，脚本会提示 “ 已跳过禁用密码登录操作”。

6.4 只允许特定用户登录（选项 4）

• 脚本会提示用户输入允许通过 SSH 登录的用户列表，多个用户之间用空格分隔。如果不需要设置特定用户，直接按回车键跳过。

请输入允许 SSH 登录的用户（多个用空格分隔，留空跳过）:

• 如果用户输入了有效的用户名，脚本会将这些用户名写入 /etc/ssh/sshd_config 文件的 AllowUsers 配置项中，并提示 “ 设置成功，允许以下用户登录: [用户名列表]”。

6.5 禁止空密码用户登录（选项 5）

• 选择该选项后，脚本会将 /etc/ssh/sshd_config 文件中的 PermitEmptyPasswords 配置项设置为 no，表示禁止使用空密码的用户通过 SSH 登录。
• 操作完成后，会提示 “ 已禁止空密码用户登录”。

6.6 设置最大认证尝试次数（选项 6）

• 脚本会提示用户输入最大认证尝试次数：

请输入最大认证尝试次数:

• 如果用户输入的是有效的数字，脚本会将该数字写入 /etc/ssh/sshd_config 文件的 MaxAuthTries 配置项中，并提示 “ 设置最大认证尝试次数为 [次数]”。
• 如果输入无效，脚本会提示 “ 输入无效，请输入一个有效的数字！”。

6.7 设置登录超时时间（选项 7）

• 脚本会提示用户输入登录超时时间（单位为秒）：

请输入登录超时时间（秒）:

• 如果用户输入的是有效的数字，脚本会将该数字写入 /etc/ssh/sshd_config 文件的 LoginGraceTime 配置项中，并提示 “ 设置登录超时时间为 [时间] 秒”。
• 如果输入无效，脚本会提示 “ 输入无效，请输入一个有效的数字！”。

6.8 禁用 DNS 反向查找（选项 8）

• 选择该选项后，脚本会将 /etc/ssh/sshd_config 文件中的 UseDNS 配置项设置为 no，以加快 SSH 登录速度。
• 操作完成后，会提示 “ 已禁用 DNS 反向查找（加快登录速度）”。

6.9 返回（选项 9）

• 选择该选项后，脚本会输出 “退出脚本” 并终止运行。

四、注意事项

• 防火墙设置：在修改 SSH 端口号后，需要手动在防火墙中放开新的端口，否则可能无法通过新端口进行 SSH 连接。例如，使用 firewall-cmd 命令（适用于 CentOS 等使用 firewalld 的系统）：

firewall-cmd --permanent --add-port=[端口号]/tcp
firewall-cmd --reload

• 密钥配置：在禁用密码登录前，请确保已经为需要登录的用户配置了 SSH 密钥，否则将无法通过 SSH 登录服务器。
• 备份恢复：如果在修改配置后出现问题，可以使用脚本自动生成的备份文件进行恢复。例如，使用以下命令恢复配置：

cp /etc/ssh/sshd_config.bak.YYYY-MM-DD-HHMMSS /etc/ssh/sshd_config

重新启动 SSH 服务：

systemctl restart sshd

完整配置脚本：

#!/bin/bash
# 定义颜色
YELLOW='\033[1;33m'
BLACK='\033[0;30m'
BOLD_BLACK='\033[1;30m'
RESET='\033[0m'
# ssh 配置文件路径
SSH_CONFIG="/etc/ssh/sshd_config"
BACKUP="/etc/ssh/sshd_config.bak.$(date +%F-%H%M%S)"
# 确保脚本使用 root 运行
if [[ $EUID -ne 0 ]]; then
echo -e "${YELLOW} 请使用 root 用户运行此脚本${RESET}"
exit 1
fi
# 备份原始配置
cp "$SSH_CONFIG" "$BACKUP"
echo -e "${YELLOW} 已备份配置到: ${BACKUP}${RESET}"
# 修改配置项函数
function set_config() {
key=$1
value=$2
if grep -qE "^\s*#?\s*${key}" "$SSH_CONFIG"; then
sed -i "s|^#*\s*${key}.*|${key} ${value}|" "$SSH_CONFIG"
else
echo "${key} ${value}" >> "$SSH_CONFIG"
fi
}
# 显示菜单
function show_menu() {
echo -e "${YELLOW}请选择一个操作:${RESET}"
echo "1) 修改 SSH 端口号"
echo "2) 禁用 root 用户登录"
echo "3) 禁用密码登录"
echo "4) 只允许特定用户登录"
echo "5) 禁止空密码用户登录"
echo "6) 设置最大认证尝试次数"
echo "7) 设置登录超时时间"
echo "8) 禁用 DNS 反向查找（加快登录速度）"
echo "9) 返回"
read -p "$(echo -e "${YELLOW}请输入选择项（数字）: ${RESET}")" choice
case $choice in
1)
modify_port
;;
2)
disable_root_login
;;
3)
disable_password_login
;;
4)
allow_users
;;
5)
disable_empty_password
;;
6)
set_max_auth_tries
;;
7)
set_login_grace_time
;;
8)
disable_dns
;;
9)
echo -e "${YELLOW}退出脚本${RESET}"
exit 0
;;
*)
echo -e "${YELLOW}无效选择，请重新输入！${RESET}"
show_menu
;;
esac
}
# 修改 SSH 端口号
function modify_port() {
read -p "$(echo -e "${YELLOW}请输入新的 SSH 端口号（1-65535）: ${RESET}")" ssh_port
if [[ $ssh_port =~ ^[0-9]+$ && $ssh_port -ge 1 && $ssh_port -le 65535 ]]; then
set_config "Port" "$ssh_port"
echo -e "${YELLOW} 已设置 SSH 端口为 $ssh_port，别忘记在防火墙中放开该端口！${RESET}"
else
echo -e "${YELLOW} 无效端口号，请输入有效的端口号！${RESET}"
fi
show_menu
}
# 禁用 root 用户登录
function disable_root_login() {
set_config "PermitRootLogin" "no"
echo -e "${YELLOW} 已禁用 root 用户登录${RESET}"
show_menu
}
# 禁用密码登录
function disable_password_login() {
echo -e "${YELLOW} 你选择了禁用密码登录，请确保你已设置 SSH 密钥，否则可能无法登录！${RESET}"
read -p "$(echo -e "${YELLOW}是否继续禁用密码登录？(yes/no): ${RESET}")" confirm_disable
if [[ $confirm_disable == "yes" ]]; then
set_config "PasswordAuthentication" "no"
echo -e "${YELLOW} 已禁用密码登录${RESET}"
else
echo -e "${YELLOW} 已跳过禁用密码登录操作${RESET}"
fi
show_menu
}
# 只允许特定用户登录
function allow_users() {
read -p "$(echo -e "${YELLOW}请输入允许 SSH 登录的用户（多个用空格分隔，留空跳过）: ${RESET}")" allowed_users
[[ -n $allowed_users ]] && set_config "AllowUsers" "$allowed_users"
echo -e "${YELLOW} 设置成功，允许以下用户登录: $allowed_users${RESET}"
show_menu
}
# 禁止空密码用户登录
function disable_empty_password() {
set_config "PermitEmptyPasswords" "no"
echo -e "${YELLOW} 已禁止空密码用户登录${RESET}"
show_menu
}
# 设置最大认证尝试次数
function set_max_auth_tries() {
read -p "$(echo -e "${YELLOW}请输入最大认证尝试次数: ${RESET}")" max_tries
if [[ $max_tries =~ ^[0-9]+$ ]]; then
set_config "MaxAuthTries" "$max_tries"
echo -e "${YELLOW} 设置最大认证尝试次数为 $max_tries${RESET}"
else
echo -e "${YELLOW} 输入无效，请输入一个有效的数字！${RESET}"
fi
show_menu
}
# 设置登录超时时间
function set_login_grace_time() {
read -p "$(echo -e "${YELLOW}请输入登录超时时间（秒）: ${RESET}")" timeout
if [[ $timeout =~ ^[0-9]+$ ]]; then
set_config "LoginGraceTime" "$timeout"
echo -e "${YELLOW} 设置登录超时时间为 $timeout 秒${RESET}"
else
echo -e "${YELLOW} 输入无效，请输入一个有效的数字！${RESET}"
fi
show_menu
}
# 禁用 DNS 反向查找（加快登录速度）
function disable_dns() {
set_config "UseDNS" "no"
echo -e "${YELLOW} 已禁用 DNS 反向查找（加快登录速度）${RESET}"
show_menu
}
# 进入菜单
show_menu