云服务器更改 22 端口对安全防护一点作用都没有

只有一丁点作用，能减少一部分傻瓜的扫描器，降低服务器负载，降低网络开销
还是推荐改一下

fail2ban ，指数增长地增加拉黑时间

@yankebupt #17 这种有啥开源工具能做到这效果不

@yankebupt 好方法

pubkey 登录，fail2ban

我是直接用阿里云的安全组，ssh 还是保持为 22 ，平时直接阻止所有 ssh 连接，需要连的时候， 就手动把当前自己的外网 IP 加入白名单允许一下 ssh 连接，用完再关。

改端口是最没用的，

fail2ban 能阻止频繁重试，但如果对方 IP 多也能不断换

knockd 端口敲门，默认不开启 22 端口，只有先用暗号敲门，比如 3089 9981 2416 三个端口依次连接过后，再对这个 IP 地址单独放行，不知道暗号扫描也扫不了

我发现爆破的都是境外 IP 地址，白名单只允许大陆 IP 就行了

改端口的功能不是给防攻击用的 而是让用户可以把 22 端口给别的程序用

应用场景举例：
（一）某个“智商极高”的程序员的 HTTP 服务器在代码里面写死了监听 22 端口
（二）在 22 端口上开启 netcat 或者其他程序，检测其他 ssh 客户端发过来的握手包具体内容

拿证书登录不就一劳永逸了?

@sagaxu knockd 这玩意要有对应的 ssh 客户端配合用，就很给力。不然连接之前还得写个 for 循环先探测一下😂

想不让扫是不可能的，直接禁密码就行了，别的可有可无。

@mingtdlb 自带的就很好用 knock myserver.example.com 123:tcp 456:udp 789:tcp

云服务商其实都有 API 给你远程操控防火墙，我自己的服务器只对外开 443 端口，22 端口要走白名单，这个白名单里有一条是我的 IP ，cron 脚本定期更新。

推荐一个 go 项目 https://github.com/yosebyte/passport ，用他带认证的转发模式，不在 ip 白名单的直接丢包

@spritecn #3 要是我用 x3389 阁下又该如何应对

@bingoso #10
> @zengxs 密钥登录和密码登录的安全性，现在还有争论。

OP 你无敌了，真的

只允许 key 登陆不是常规操作吗？
扫 端口的遇到要求 key 登陆的错误提示就不会再扫你的 ip 了

改端口确实没有任何意义，现在 cpu 和网络已经足够快了，全端口扫描也只是 10 秒的事。
我想了想，唯一改端口的收益是在于避免 GFW 的干扰上。

我的看法是 fail2ban 能解决改端口解决的所有问题，还更优雅，我已经至少五年没用过 22 以外的端口 ssh 了。

唯一不能解决的是 gfw 封端口的问题，但我印象里以前开新机，22 端口经常被阻断连不上，一配置好 fail2ban 立马好了，不像是 gfw 的问题，我不清楚原因是什么，可能是太多人尝试爆破把连接数占满了（或者类似原因）？

确实没大用，但也不是完全没用。

我曾经也是密码+高位端口，很多机子都可以避免被大量扫爆，但也遇到过被人盯着高位端口爆破了几万次。

改成证书登录吧，还有没有人继续扫爆我不知道，但起码 lastb 里不会再有记录了，看着安心点。 ^^_