云服务器更改 22 端口对安全防护一点作用都没有

咋？观察一下一台机器就能得出结论。

设置 ssh 为只允许 pub key 登录，你就会发现没人再去尝试登录你的机器了

优先扫[1-9]022,[1-9]021,相信你是正常人,话说全扫一下也花不了多少时间

好的工具 1-65535 端口探测只需要十几秒钟

用 nmap 扫一遍 tcp 端口花不了多生时间，换端口增加安全性只适用于 udp ，因为那个不会应答吧

ssh 的特征非常明显，用 telnet 敲下端口就返回协议类型了，扫全端口也花不了多长时间。

你就不能换成 ssh key 登录吗...

@zengxs 没有那么绝对，我国内腾讯云的机器设置了只允许 Pubkey 登录，也禁止了密码登录，lastb 能看到每天还是有很多乱七八糟的用户名尝试登录。

fail2ban

@Kinnice 我这是任意抽检两台云服务器观察一周得出的这个结论，可靠性应该是很高的。
@zengxs 密钥登录和密码登录的安全性，现在还有争论。
@bobryjosin 确实低估了扫描工具的威力，我故意选用的高位端口，仍旧避免不了被扫。

我是服务商防火墙配置一次规则、服务器本身防火墙配置一次规则，如果要在服务器开放一些 HTTP 管理界面的话，用 Cloudflare tunnel + mTLS 双向证书，安全性无敌。

@bingoso 端口扫描又不是什么高深的东西，咱 20 年前初中就在玩的东西了，称不上什么威力，这种广泛使用的协议太明显了。

私钥登录

有一点，但不多。

爱扫就扫呗，我服务器还关了 ping ，直接装死

ssh 协议是服务器主动的协议
这种协议随便一扫就知道端口号是多少了
更改端口号真的没什么意义

放个陷阱端口啊，低位端口放一个陷阱，只要这个端口有 tcp 扫立刻 ban ip……轮不到高位暴露

放陷阱端口的意义在于，除了骇客在扫，网安也在扫你，云服务商的各种外包云安全也在扫你，不想接受他们“插一杠子”式的服务的话，做个微型蜜罐有益无害

所以我选择 VPN 连接，用 VPN 内网地址去登录云服务器。为了给 VPN 备份，主机开放 22 端口，但云服务器的安全组规则会直接封掉 22 端口，一旦 VPN 失效，去控制台临时放行一下 22 端口依然可以正常访问，不会被关在门外。

确实，主要还是禁止密码登录，设置只能密钥登录