Cómo cambiar su puerto SSH

Secure Shell (SSH) es un método confiable y ampliamente utilizado para conectarse de forma segura a servidores remotos.De manera predeterminada, escucha en el puerto 22, un puerto bien conocido que frecuentemente está dirigido por bots automatizados e intentos de inicio de sesión maliciosos.Cambiar a un puerto diferente no hará que su servidor sea invencible, pero puede reducir significativamente el tráfico no deseado y ayudar a mejorar su postura de seguridad general.

En este tutorial, lo guiaremos a través de los pasos para cambiar el puerto SSH de su servidor de manera segura.En el camino, cubriremos cómo elegir un nuevo puerto, actualizar sus reglas de firewall, probar la conexión y aplicar algunas mejores prácticas adicionales para una configuración SSH más fuerte más segura.

Empecemos.

Prerrequisitos

Antes de cambiar su puerto SSH, asegurémonos de tener lo siguiente:

• Acceso root o sudo al servidor: Para modificar la configuración del sistema, necesitará privilegios de administración.Si no está seguro de cómo acceder a su servidor a través de SSH, consulte nuestra guía en Conexión a su servidor a través de SSH
• Una conexión SSH activa usando el puerto predeterminado (generalmente 22): Mantener una sesión activa de SSH abierta es una buena idea en caso de configación errónea.
• Acceso de firewall: Para permitir el tráfico en el nuevo puerto, deberá modificar las reglas de firewall de su sistema operativo.
• Conocimiento de la línea de comando: Una comprensión básica debe estar bien.Si necesitas ayuda, nuestro Guía de principiantes para la interfaz de línea de comandos es un buen lugar para comenzar.
• Un nuevo número de puerto SSH: Seleccione un puerto entre 1024 y 65535 que aún no está en uso.
• Una copia de seguridad de su archivo de configuración SSH: Antes de hacer cambios, es importante hacer una copia de seguridad de su configuración SSH para evitar bloqueos:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Elegir un nuevo puerto SSH

SSH predeterminado es al puerto 22, pero puede cambiarlo a cualquier puerto no utilizado entre 1024 y 65535.Evite los puertos bajo 1024: están reservados para servicios bien conocidos y podrían conducir a conflictos.A continuación se muestra una lista de puertos de uso común para que sepa cuáles se alejará:

Consejo: Elija un puerto que no sea comúnmente escaneado por el atacante, como 2222, 2525 o 50022

Cómo cambiar su puerto SSH predeterminado

Una vez que haya decidido el número de puerto que desea usar, sigamos los pasos sobre cómo hacer el interruptor.

Paso 1: Actualice el archivo de configuración de SSH

1.Conecte a su servidor utilizando el puerto SSH actual (el valor predeterminado es 22):

ssh user@your-server-ip

2. Abra el archivo de configuración de Daemon SSH con un editor de texto como Nano:

sudo nano /etc/ssh/sshd_config

3. Encuentre la línea que especifica el puerto SSH predeterminado:

#Port 22

4. Desencadenamiento (elimine el símbolo#) y cambie el número a su nuevo puerto:

Port 2222

(Reemplace 2222 con su número de puerto preferido).

5. Guarde y salga del archivo.

Paso 2: actualizar las reglas de firewall

Si su servidor tiene un firewall habilitado, deberá abrir el nuevo puerto SSH en su firewall y cerrar el anterior.

En Ubuntu/Debian:

sudo ufw allow 2222/tcp
sudo ufw delete allow 22/tcp
sudo ufw reload

En Cientos Rhel con Firewalld:

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --remove-service=sshsudo firewall-cmd --reload

Consejo: Asegúrese de que el cambio de puerto se refleje en cualquier otra herramienta de gestión de firewall o grupos de seguridad externos (como los de AWS o proveedores de nubes)

Paso 3: Reinicie el servicio SSH

Después de realizar los cambios, aplique la nueva configuración reiniciando el servicio SSH:

sudo systemctl restart sshd

Paso 4: Prueba el nuevo puerto SSH

Antes de cerrar su sesión SSH actual, abra una nueva ventana de terminal y pruebe el nuevo puerto:

ssh -p 2222 user@your-server-ip

Si la conexión funciona, está todo configurado.

Si no, regrese y verifique el archivo de configuración SSH y las reglas de firewall o consulte nuestra publicación más detallada en Solución de problemas de problemas de conexión SSH.

Paso 5: facilitar las conexiones SSH (opcional)

Para evitar escribir el número de puerto cada vez, puede agregarlo a su configuración SSH local:

1. abre o cree este archivo:

nano ~/.ssh/config

2. Agregue lo siguiente con sus credenciales (nombre del servidor, IP del servidor, puerto #y nombre de usuario):

Host your-server
 	HostName your-server-ip 
	Port 2222 
	User your-username 

Bloqueo de acceso SSH

Cambiar su puerto SSH es un buen primer paso, pero aquí hay algunas formas más de fortalecer la seguridad de su servidor:

Deshabilitar el inicio de sesión de la raíz

Editar/etc/ssh/sshd_config y establecer:

PermitRootLogin no

Esto obliga a los usuarios a autenticarse como un usuario regular y luego aumentar los privilegios con sudo.

Utilice la autenticación de la tecla SSH

Los inicios de sesión basados ​​en contraseña son más fáciles de hacer la fuerza bruta.Cambiar a las teclas SSH hace que el acceso no autorizado sea significativamente más difícil.Genere un par de claves con SSH-KeyGen y cargue su clave pública al servidor.

Configurar herramientas Fail2Ban o similares

Herramientas como los intentos de inicio de sesión del monitor Fail2ban y prohibir temporalmente las IP que fallan repetidamente.Esto ayuda a prevenir los ataques de fuerza bruta.

Mantenga a SSH y su sistema operativo actualizado

Instale regularmente actualizaciones para parchear cualquier vulnerabilidad conocida.

Monitorear la actividad de inicio de sesión

Verifique los registros como /var/log/auth.log (Ubuntu/Debian) o / var / log / seguro (CentOS/RHEL) Para vigilar los intentos de inicio de sesión y las posibles amenazas.

Limite el acceso SSH con la lista blanca de IP

Si solo las IP específicas necesitan acceso SSH, restringir las reglas de su firewall para permitir solo esas direcciones.