改端口…… 成功和问题……

thunderbird

小弟听前辈们的话，为了服务器的安全，开始改全部的端口，计划如下：

SSH 4455
FTP 4456
MYSQL 4457

嘿嘿…… 扫的人一定猜不到。

小弟目前的实验成功如下：

改SSH，改 /etc/ssh/sshd_config 里的port 从22到 4456
（但是不知道怎么生效果，重起了一下机子才生效了，有没有不重起机子的方法？）

改MYSQL ，改 /etc/my.cnf 里的mysqld 中的 port 从3306 到 4457
然后用以下方式重起MYSQL，让更改的生效……

/usr/local/msql/share/mysql/mysql.server stop
/usr/local/msql/share/mysql/mysql.server start

改FTP，改 /usr/local/proftpd/etc/proftpd.conf 中的 port 从21 到 4455
然后用
killall -UHP proftp
让更改生效。

现在出现如下问题：

FTP改了端口后不能LIST。可以正常连接上………
SSH运行正常。（最怕不正常，如果不正常，连接不上服务器了）
MYSQL显示端口为4457，但是使用的程序不需要改任何PORT设置都可以正常运行，郁闷……


-------------------------------------------------
FTP改了端口后不能LIST。可以正常连接上………

这个问题，现在已经解决，方法是把FTP里的被动模式打开。但是不明白的是，为什么在改端口之前不需要把FTP里的被动模式打开就可以正常连接上FTP，而改了端口之后就不可以正常连接，一定要把FTP里的被动模式打开呢？？？

郁闷…… 请高手指点……

现在就只有二个问题，不太放心了。需要前辈来指点一下，让小弟可以确信自己改后没有后遗症…… 谢谢……

欧可侠

FTP的默认端口为
FTP control 20
FTP datta 21
所以默认状态下可以list. 如果要提高FTP服务器的安全性，我觉得改变端口开始治标不治本。建议使用FTPS(FTP over SSL)，应用SSL方式将传送的密码和数据加密，相对安全。此方式的默认端口是989,990.

关于MySQL, 我想如果都是在本机上运行的程序的话应该跟端口没有太大关系。只有在跟外界通讯时才重要。 但只是猜测，仅作参考之用。

thunderbird

看前辈指教， FTP和SSH和MYSQL主要是怕别人攻击和连接。所以小弟FTP限了地区IP连接，SSH也限了。MYSQL一直搞不好。所以，想改一个MYSQL的端口，以提高MYSQL的安全性。同时在MYSQL里的MYSQL表中。默认有4个账号。小弟删除了二个没有密码的。但是，现在还有二个，一个是localhost的root，一个是主机名的root,小弟知道，localhost的这个是在本地连接用的。那个主机名的是外部连接来用的。所以，小弟操作MYSQL都是在服务器上用ROOT进入后直接操作的，所以如果这样的话，是不是可以把那个主机名的root从MYSQL数据表中删除，以提高安全性？谢谢……

欧可侠

不必谦虚，我玩得也不精深

如果你是通过SSH远程登录主机后才对MySQL进行操作的话，我想应该属于localhost的root。另一个root应该是从外界联接使用的，如果没有从外界使用root联接数据库的必要，建议删除。 我们可以回想一下ProFTP的设置，初始状态不是也不允许root登录吗。可能是同一个道理。 但是至于会不会出现后遗症。。。这个我拿不准。要看你都有哪些程序需要调用MySQL.但是一般好像都不需要root的权限吧。

thunderbird

我也是这样想的，一般情况下，localhost的root是只用到开MYSQL用户和数据库用的。其它的程序用的都是新开出来的用户和数据库。所以理论上不会发生什么后遗症，但是小弟一个不明白。为什么改了MYSQL的端口之后，PHP+MYSQL的程序都照常一样可以正常运行呢？？、理论上应该要改一些程序的CONFIG.PHP 中的port 啊……

欧可侠

我也不太确定，我认为port的概念是建立在网络之间的，严格的说是建立的不同的NIC之间的通信通道。若PHP+MYSQL的PHP程序需要调用本地的数据库，恐怕不需要通过Port吧。如果要通过不同NIC传送信息才需要通过PORT. 我个人的理解是这样的。。。

thunderbird

利害！！！！！！！ 还有二个问题有什么看法啊？：）

欧可侠

另外两个问题是....?

thunderbird

SSH运行正常。（最怕不正常，如果不正常，连接不上服务器了）
我在改完sshd_config的文件后用 killall -HUP sshd （SSHD就掉线了。） 然后重新连接就要用新的端口了。我是想问，这样的操作方法对不对。会不会有什么后遗症？？还有 ssh_config 和sshd_config有什么不同？我知道一个是 服务端的，一个是客户端的。客户端的那个ssh_config是给谁用的？

欧可侠

改变SSH的连接端口直接在/etc/ssh/sshd_config中修改，然后重新启动sshd 就可以了。我一般喜欢用 /etc/init.d/sshd restart 。 我就是通过SSH长期远程管理几个服务器，没有出现过后遗症。如果有了问题我可惨了。要坐车几个小时去机房维护。:confused:

ssh_config和sshd_config话说起来可就长了。正如你说的个是服务端的，一个是用户的。ssh_config当然不是给一般user可以随便编辑的，是root对各个user的单独设置文件。
也可以通过 $HOME/.ssh/ssh_config来编辑。用这种控制方法的时候会优先后者。

/etc/ssh/ssh_config在初始设置中全部的项目都被 comment out了，所以不起作用。我介绍几个最常用的设置参数：

StrictHostKeyChecking : 自动在 $HOME/.ssh/known_hosts中追加host key 与否。如果制定为NO, 需要用户自己追加

IdentityFile 用户所使用的秘密key的路径
Port SSH 联接用Port
Protocol 连结用的协议版本。现在有两个版本，2和1。他们并不兼容。如果在这里指定 2,1的话就会优先2

设置例：
StrictHostKeyChecking no　←自动获取host key
IdentityFile ~/.ssh/identity　←用户的秘密key版本1用
IdentityFile ~/.ssh/id_dsa　←用户的秘密key版本2用
Port 22
Protocol 1　使用协议版本1联接