Зміна нестандартного порту: як підвищити безпеку сервера

Що насправді покращує нестандартний порт (а що ні)

• Покращує: зменшує кількість фонових сканувань та «розпилення паролів», знижує шум у журналах, зменшує випадкові спроби грубої сили.
• Не замінює: надійну аутентифікацію, обмеження брандмауера, оновлення та запобігання вторгненням.
• Найкращий варіант використання: поєднайте зміну портів з обмеженнями IP (дозвольте лише ваші адреси) та автентифікацією на основі ключів (Linux) або обмеженою сферою дії NLA (Windows).

Золоте правило: не заблокуйте собі доступ

Перед зміною будь-якого порту управління:

• Переконайтеся, що у вас є доступ до консолі провайдера / аварійного доступу.
• Спочатку відкрийте новий порт у брандмауері провайдера та брандмауері сервера.
• Залиште старий порт активним, доки не переконаєтеся, що вхід працює через новий.
• Задокументуйте новий порт (менеджер паролів команди / інструкція).

Linux: безпечна зміна порту SSH (приклад для Ubuntu/Debian)

На VPS під управлінням Linux SSH зазвичай є ціллю №1. Найбезпечніший алгоритм дій: дозволити новий порт → налаштувати SSH → перезапустити → перевірити → потім закрити старий порт.

Крок 1 — Виберіть новий порт і перевірте, чи він вільний

Виберіть порт, наприклад 2222, 22022 або будь-який високий порт, який не використовується вашими службами.

# Check if a port is already in use (replace 2222)
sudo ss -lntp | grep ':2222' || echo "Port 2222 is free"

Крок 2 — Відкрийте новий порт у брандмауері (приклад UFW)

# Allow new SSH port
sudo ufw allow 2222/tcp

# Keep existing SSH port until you verify access
sudo ufw allow 22/tcp

sudo ufw status

Якщо ви не використовуєте UFW, відкрийте порт у вашому інструменті брандмауера (iptables/nftables/firewalld), а також переконайтеся, що він дозволений у брандмауері панелі вашого провайдера VPS-хостингу.

Крок 3 — Змініть конфігурацію демона SSH

Відредагуйте конфігурацію SSH:

sudo nano /etc/ssh/sshd_config

Встановіть (або додайте) такі рядки:

Port 2222
# Keep this enabled
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

Порада: безпечніше спочатку перевірити, чи працює вхід на основі ключів, і лише потім вимкнути паролі.

Крок 4 — Перевірте конфігурацію та перезапустіть SSH

sudo sshd -t
sudo systemctl restart ssh
sudo systemctl status ssh --no-pager

Крок 5 — Перевірте з’єднання на новому порту (зробіть це ПЕРЕД тим, як закрити 22)

# From your local PC
ssh -p 2222 user@SERVER_IP

Тільки після успішного входу на новому порту:

sudo ufw delete allow 22/tcp
sudo ufw status

Windows: безпечна зміна порту RDP (Windows Server / Windows VPS)

На Windows VPS зміна порту RDP може зменшити кількість автоматичних сканувань, але вам також слід обмежити правило за IP-адресою та залишити NLA увімкненим. Якщо можливо, розгляньте RD Gateway / VPN для зовнішнього доступу.

Крок 1 — Виберіть новий порт RDP і відкрийте його у брандмауері провайдера

Виберіть порт, наприклад 3390 або 53389. Спочатку відкрийте його у брандмауері провайдера в панелі хостингу VPS, щоб уникнути ситуації, коли «все працює всередині, але не зовні».

Крок 2 — Змініть порт RDP у реєстрі

Запустіть PowerShell як адміністратор на сервері (у прикладі використовується 53389):

# Set new RDP port (Decimal)
$NewPort = 53389
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -Name 'PortNumber' -Value $NewPort

Крок 3 — Створіть правило брандмауера Windows для нового порту

# Allow inbound TCP on the new port
New-NetFirewallRule -DisplayName "RDP (TCP $NewPort)" -Direction Inbound -Protocol TCP -LocalPort $NewPort -Action Allow

Рекомендовано: обмежте доступ за вашою IP-адресою (замініть x.x.x.x):

New-NetFirewallRule -DisplayName "RDP (TCP $NewPort) - My IP only" `
  -Direction Inbound -Protocol TCP -LocalPort $NewPort -RemoteAddress x.x.x.x -Action Allow

Крок 4 — Перезапустіть служби віддаленого робочого столу (або перезавантажте систему)

Перезавантаження — це найпростіший і найнадійніший спосіб. Якщо ви не можете перезавантажити систему відразу, перезапустіть службу (це може призвести до втрати поточного сеансу):

Restart-Service TermService -Force

Крок 5 — Перевірка з вашого ПК

З клієнта Windows:

Test-NetConnection SERVER_IP -Port 53389

У mstsc підключіться так: SERVER_IP:53389

Короткий контрольний список

• Новий порт дозволено у брандмауері провайдера та брандмауері сервера.
• Служба прослуховує новий порт (ss/netstat перевірка).
• Ви можете увійти через новий порт перед тим, як вимкнути старий.
• Повноваження та політики ключів/NLA залишаються чинними після змін.
• Команда має документацію щодо нового порту та шляху доступу.

Висновок

Зміна порту за замовчуванням є хорошим кроком для «зниження шуму» та зміцнення безпеки, але справжня безпека забезпечується завдяки надійній аутентифікації та обмеженому доступу. Використовуйте це як частину багаторівневого підходу на вашому VPS під управлінням Linux або Windows на професійному VPS-хостингу.