搬瓦工VPS怎样修改默认端口

搬瓦工官方已调整策略，目前新购买的VPS（特别是在2024-2025年之后开通的）大多已默认使用 22 端口。然而，许多“老套餐”或“老用户”的VPS，其SSH端口依旧是官方为了安全（减少被黑客扫描）而分配的一串随机数字。

本文主要服务于“老用户”，手把手教大家如何将难记的“随机端口”安全的修改为我们习惯的标准 22 端口。这样做不仅方便记忆和输入，更能解决许多自动化脚本或面板（如宝塔）因不兼容随机端口而导致的连接问题。

• （如果您是新用户，端口已经是22，并希望为了安全将其修改为一个自定义的随机端口，请参考我们的另一篇教程：《搬瓦工修改默认22端口教程（安全加固）》）

一、确认当前的 SSH 端口

在修改之前，您必须先用当前的随机端口登录到服务器。

1. 首先，您需要登录KiwiVM控制面板。（如果您不清楚如何登录，请参考这篇教程：搬瓦工VPS登录KiwiVM后台管理面板教程）
2. 登录KiwiVM后，在 Main controls（主控制台）首页，您可以在右侧信息栏看到当前VPS的 SSH Port（它是一长串随机数字）。
3. 使用这个端口和您的IP地址，通过SSH工具（如Xshell或终端）登录服务器：

ssh -p [您的随机端口号] root@[您的服务器IP]

（重要：请保持这个SSH会话窗口不要关闭，以备后续操作失误时恢复）

二、添加 22 端口防火墙规则

这是最关键的一步，也是最容易导致“把自己锁在门外”的一步。我们必须在修改配置文件之前，确保新端口22能被访问。

您只需要在“系统防火墙”（VPS内部）放行22端口即可。

（如何判断我的防火墙？）

• 如果您的系统是 CentOS 7+、Rocky Linux、AlmaLinux，您大概率用的是 firewalld。
• 如果您的系统是 Debian、Ubuntu，您大概率用的是 ufw (但可能默认未启用)。
• （不确定时，您可以尝试执行 systemctl status firewalld 和 systemctl status ufw，看哪个是 active (running) 状态）

请根据您的操作系统，执行对应的命令：
CentOS / Rocky / Alma (使用 firewalld)

firewall-cmd --permanent --add-port=22/tcp
firewall-cmd --reload

Ubuntu / Debian (使用 ufw)

ufw allow 22/tcp
ufw reload

(提示：如果ufw reload后提示 ufw active 且您意外掉线，说明您之前的随机端口没在ufw规则里。此时请用第五节的“应急方案”登录，并执行 ufw allow [您的随机端口号]/tcp)
传统 iptables (老系统)

iptables -I INPUT -p tcp --dport 22 -j ACCEPT
service iptables save 2>/dev/null || iptables-save > /etc/iptables/rules.v4

三、修改 SSH 配置文件 (sshd_config)

现在，我们可以安全地修改SSH的配置文件了。

1. 编辑 sshd_config 配置文件：

   nano /etc/ssh/sshd_config
   

2. 在文件中找到与端口相关的行（可能是 Port [您的随机端口号] 或 #Port 22）。
3. 将其修改为（如果前面有 # 号，请务必去掉）：

   Port 22
   

4. （可选，更安全） 如果您想同时允许新旧端口登录（用于平滑过渡），可以保留旧端口行，再新增一行 Port 22。

   Port [您的随机端口号]
   Port 22
   

5. 保存并退出 (Nano中是 Ctrl+X, Y, Enter)。
6. 重启 SSH 服务使配置生效：

   systemctl restart sshd || systemctl restart ssh
   

四、测试新端口并安全移除旧端口

此时，不要关闭您现有的SSH连接（第一步打开的那个）。

1. 在您的电脑上打开一个新的终端或SSH工具。
2. 尝试使用新的22端口登录：

   ssh -p 22 root@[您的服务器IP]
   

3. 如果能成功登录，证明您的新端口22已确认可用！
4. 此时，您可以安全地回去清理旧的随机端口规则（非必须，但更安全）：
   • 防火墙： 执行对应的 firewall-cmd --remove-port 或 ufw delete allow 命令。
   • sshd_config： 如果您在第3步中保留了旧端口，现在可以回去编辑文件，删掉 Port [随机端口] 那一行，然后再次重启 sshd 服务。

五、(应急方案) 修改后无法连接怎么办？

如果您在第四步测试22端口时无法登录，不要慌张。您第一步的那个旧连接应该还在。
如果旧连接也断了，或者您把自己完全锁死了，请使用KiwiVM面板的网页版Shell功能救援：

• 使用网页版 Root Shell (强烈推荐)
  1. 在KiwiVM面板左侧找到 Root shell – interactive (交互式Shell)。
  2. 点击 Launch。这是一个不受您SSH端口和防火墙配置限制的“救援”控制台。
  3. 您可以在这里登录，然后重新检查：
     • sshd_config 文件是否改错了？（nano /etc/ssh/sshd_config）
     • systemctl status sshd 查看服务是否报错？
     • firewall-cmd --list-ports 或 ufw status 查看防火墙是否真的放行了22？
  4. 修改完毕后，执行 systemctl restart sshd 重启服务。

六、(重要) 修改为 22 端口后的安全加固

将SSH端口改为22后，虽然方便了，但被扫描的风险会剧增。强烈建议您立刻进行以下安全加固：

1. 启用密钥登录、禁用密码登录（最重要）

• 本地生成密钥：

  ssh-keygen -t ed25519
  

• 上传公钥到服务器：

  ssh-copy-id -p 22 root@[您的服务器IP]
  

• 修改服务器配置： 编辑 /etc/ssh/sshd_config，确保以下几项：

  PasswordAuthentication no
  PermitRootLogin prohibit-password
  PubkeyAuthentication yes
  

• 重启SSH：

  systemctl restart sshd
  

2. 安装 fail2ban（自动封禁暴破 IP）

• Debian/Ubuntu：

  apt update && apt install -y fail2ban
  systemctl enable --now fail2ban
  

• CentOS/RHEL： (可能需要EPEL源)

  yum install -y fail2ban
  systemctl enable --now fail2ban
  

七、常见问题 (Q&A)

Q1：为什么我的老套餐是随机端口，新买的就是22？

答：官方模板（在老版本中）会自动生成一个随机SSH端口，目的是降低被扫描的概率。现在（2025年）新开通的VPS模板则已默认使用22端口。

Q2：为何老用户还要改回 22？

答：为了方便记忆和输入。更重要的是，许多自动化脚本、运维面板（如宝塔）默认都基于22端口工作，改回22可以获得最佳的兼容性。

Q3：我只改了sshd_config没动防火墙，结果连不上了？

答：这是最常见的错误。因为您的系统防火墙（如 firewalld, ufw）没有放行22端口。请严格按照本文第二节，先放行、再修改。

八、总结

通过上面搬瓦工中文网分享的步骤，您可以安全的把搬瓦工VPS的SSH登录端口，从系统默认的随机数字改回常见的22。这样做的最大好处是操作更顺手、工具兼容性更好。

不过请务必记住，22端口的暴露风险远高于随机端口。因此，在您修改端口之后，强烈建议立刻（按照第六节）配置SSH密钥登录并安装 Fail2ban 等防护措施，把服务器的安全性补足。搬瓦工本身提供的KiwiVM面板已经自带Root Shell等网页版救援工具，就算操作失误锁住了SSH，也能找回控制权，您可以放心操作。