如何在linux下配置ssh和sftp使用不同的埠號

1、兩個deamon

要實現ssh和sftp分離，分別監聽不同的埠，可以透過建立兩個‘/usr/sbin/sshd’後臺程式，一個監聽22埠(ssh)，一個監聽20022埠(sftp)，為了區分ssh和sftp服務的後臺程式，這裡將ssh服務的後臺程式保持為/usr/sbin/sshd，而將sftp服務的後臺程式改為/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一個連結，其內容完全相同(ln -sf /usr/sbin/sshd /usr/sbin/sftpd)。

2、兩個service

SLES12使用systemd管理系統服務，ssh服務對應/usr/lib/systemd/system/sshd.service檔案，實現sftp服務時可以將/usr/lib/systemd/system/sshd.service 複製到 /etc/systemd/system/sftpd.service，然後修改sftpd.service檔案內容。(使用修改好的sftpd.service檔案即可)

3、其他檔案系統的ssh服務是透過安裝openssh實現的，可以透過rpm -ql openssh檢視該rpm包含哪些檔案。總結實現ssh和sftp分離的相關的檔案有：

ssh服務 sftp服務

/usr/lib/systemd/system/sshd.service /etc/systemd/system/sftpd.service (透過修改/usr/lib/systemd/system/sshd.service檔案得到)

/etc/pam.d/sshd /etc/pam.d/sftpd (透過複製 /etc/pam.d/sshd檔案得到)

/etc/ssh/sshd_config /etc/ssh/sftpd_config (透過複製/etc/ssh/sshd_config檔案得到)

/usr/sbin/rcsshd /usr/sbin/rcsftpd (ln -sf /usr/sbin/service /usr/sbin/rcsftpd)

/usr/sbin/sshd /usr/sbin/sftpd (ln -sf /usr/sbin/sshd /usr/sbin/sftpd)

/etc/sysconfig/ssh /etc/sysconfig/sftp (透過修改/etc/sysconfig/ssh檔案得到)

至此，我們已經實現了兩個服務。

但是，ssh服務和sftp服務並沒有真正的分離，此時已然可以透過22號埠使用ssh服務和sftp服務，而新開的20022埠也可以使用ssh服務（ssh -p 20022 username@serverip ）和sftp服務（sftp -o Port=20022 username@serverip ）。

4、關閉22號埠下的sftp服務編輯/usr/sbin/sshd的配置檔案/etc/ssh/sshd_config檔案，將Subsystem引數註釋掉，然後重啟sshd同時也可以設定可訪問22號埠的使用者白名單：編輯/etc/ssh/sshd_config檔案，設定AllowGroups引數（假設設定為AllowGroups sshonly），限制僅AllowGroups組內的使用者可透過22號埠ssh登入系統（對於需要ssh登入系統的使用者可透過usermod -A sshonly username將其加入到AllowGroups組內）

5、“關閉20022號埠下的ssh服務”sftp作為一個子服務，它的開啟依賴於ssh服務，因此不能從本質上關閉ssh服務而只開啟sftp服務。可以用以下方式來規避：/usr/sbin/sftpd的配置檔案/etc/ssh/sftpd_config中包含Subsystem引數配置（推薦使用Subsystem sftp internal-sftp -l INFO -f AUTH）/etc/ssh/sftpd_config中包含AllowGroups引數（假設為AllowGroups sftponly），限制僅AllowGroups組內的使用者可以訪問20022埠將AllowGroups組內的使用者的shell改為/bin/false(usermod -s /bin/false username)，使AllowGroups組內的使用者僅能sftp登入系統（如果一個使用者即需要ssh，又需要sftp，則不能將其shell改為/bin/false）

6、使用者白名單配置配置之後，需將系統內需要ssh訪問系統的使用者加入到sshonly組內，需將系統內需要sftp訪問系統的使用者加入到sftponly組，同時需要ssh和sftp的使用者則sshonly和sftponly組都要加入。

7、 重啟ssh服務和sftp服務，並設定開機啟動

service sshd restartservice sftpd restart

要在Linux下配置SSH和SFTP使用不同的埠號，您可以按照以下步驟進行操作：

1. 開啟終端並以root使用者身份登入到Linux系統。

2. 編輯SSH配置檔案：使用文字編輯器（如vi或nano）開啟SSH伺服器配置檔案 `/etc/ssh/sshd_config`。

```

sudo vi /etc/ssh/sshd_config

```

3. 在配置檔案中找到 `Port` 行，該行定義了SSH伺服器監聽的埠號，預設情況下為22。

4. 更改SSH埠號：將 `Port` 的值更改為您想要用於SSH連線的新埠號。請確保選擇一個未被其他服務佔用的埠號。

5. 儲存並關閉檔案：在vi編輯器中，按下 `Esc` 鍵，然後輸入 `:wq` 並按下 `Enter` 儲存並退出。

6. 重啟SSH服務：執行以下命令來重新啟動SSH服務以使更改生效。

```

sudo systemctl restart sshd

```

7. 配置SFTP使用不同的埠號：預設情況下，SFTP使用SSH的埠號進行連線。如果您希望為SFTP設定不同的埠號，可以考慮使用專門的SFTP伺服器軟體，如vsftpd或ProFTPD，並在其配置檔案中指定所需的埠號。

請注意，在更改SSH和SFTP的埠號之後，您需要確保相應的防火牆規則允許新埠的傳入連線。確保您的網路和系統安全性，例如使用強密碼、限制登入嘗試次數和禁用root遠端登入等。

這些步驟僅適用於常見的Linux發行版，具體操作可能因不同的發行版而有所不同。

要在Linux下配置SSH和SFTP使用不同的埠號，您需要進行以下步驟：

1. 開啟SSH配置檔案（一般位於/etc/ssh/sshd_config）。

2. 在檔案中找到“Port”行，並更改SSH的埠號為您想要使用的埠號（例如，2222）。

3. 儲存並關閉檔案。

4. 重啟SSH服務以使更改生效（例如，使用命令sudo service ssh restart）。

5. 開啟SFTP伺服器配置檔案（一般位於/etc/ssh/sshd_config）。

6. 在檔案中找到“Subsystem sftp”行，並在該行的末尾新增一個新的埠引數（例如，“-p 2223”）。

7. 儲存並關閉檔案。

8. 重啟SFTP伺服器以使更改生效（例如，使用命令sudo service ssh restart）。

這樣，您就可以透過不同的埠號訪問SSH和SFTP服務。配置不同的埠號有助於提高系統的安全性，因為攻擊者往往會掃描預設埠號，而將埠號修改為非預設值可以減少惡意訪問的風險。