宝塔面板修改系统默认端口防止恶意扫描的完整指南

一、为什么要修改默认端口

互联网上80%的恶意扫描针对以下默认端口：

• SSH端口：22
• 宝塔面板：8888
• MySQL：3306
• phpMyAdmin：888

攻击者通过自动化工具扫描这些端口尝试暴力破解，修改默认端口可减少99%的自动化攻击尝试。

二、SSH端口修改（安全优先级最高）

1. 通过宝塔面板修改

 登录宝塔面板 → 安全 → SSH端口修改
 建议范围：1024-65535（避开常见服务端口）
 修改后立即生效

2. 手动修改配置文件（备用方案）

vim /etc/ssh/sshd_config
 找到 Port 22 改为 Port 新端口号
systemctl restart sshd

3. 防火墙放行新端口

 CentOS
firewall-cmd --permanent --add-port=新端口/tcp
firewall-cmd --reload

 Ubuntu
ufw allow 新端口
ufw reload

三、宝塔面板端口修改

1. 面板设置 → 面板端口 → 修改为5位数端口（如35428）
2. 同步修改防火墙规则
3. 测试新端口访问：http://服务器IP:新端口/安全入口

四、数据库端口安全设置

MySQL/MariaDB

 修改配置文件
[mysqld]
port = 新端口号

Redis

 修改后需重启服务
sed -i 's/port 6379/port 新端口/g' /etc/redis.conf

五、验证与注意事项

• 使用netstat -tunlp检查端口监听状态
• 首次修改建议保持SSH连接不断开，新开窗口测试
• 记录所有修改的端口到本地加密文档
• 企业环境建议配合Fail2Ban增强防护

六、高级安全建议

1. 端口敲门（Port Knocking）技术：

 示例安装knockd
apt install knockd
systemctl enable --now knockd

2. 定期使用lastb命令检查登录尝试记录

3. 结合Cloudflare防火墙限制访问地理区域