云服务器更改 22 端口对安全防护一点作用都没有

@FanError 甚至不需要任何第三方工具，单凭 nftables 就能实现

tcp dport 22 ip saddr add @honeypont_ipv4 { ip saddr timeout 1d }
tcp dport 22 ip6 saddr add @honeypont_ipv6 { ip6 saddr timeout 1d }
ip saddr @honeypont_ipv4 counter drop
ip6 saddr @honeypont_ipv6 counter drop

同理，nftables 也能直接实现端口敲门，不需要任何额外软件

顺便我自己安全性要求高的直接 SSH Certificate 登录

@ZeroClover set 的名字不小心打错了，然后复制粘贴就全错了

另外 nftables 需要先预定义这个 set

set honeypot_ipv4 {
type ipv4_addr
flags dynamic,timeout
timeout 1d
elements = { }
}

大门装锁对安全防护一点作用都没有，几天观察下来，还是会被撬开。以后大门可以不用装锁了

key 登录 和 密码登录 安全性 有争论？？ 哈？

以前个人站，在 web 设置一个深度隐藏 url 地址，打开后需要验证，定期通过 cron 脚本提取源 IP 加入到 ssh 白名单和放开防火墙。

< 我的 22 端口直接是 Gitea 的 ssh server, xswl 看他怎么破

密钥登录+IP 白名单

@FanError 一般防火墙自定义攻击类型能做到，但是如果你的服务器特别招恨的话（比如ＭＣ服），建议发个 SYN+ACK 回去，对方 ACK 了再 BAN ，因为 IP 来源可以造假。

在我的 VPS 上效果很明显，之前一直有被枚举，换了端口就绝迹了。

密钥有什么办法保存呢，在客户那登录的话？

改 22 默认端口，扫描记录真的少很多

话说有没有可能做个蜜罐，然后在对面连蜜罐 SSH 端口的时候产生大量无用日志或者让对方主动下载文件之类的把对面撑死？

@yankebupt #17 在 22 端口放了个蜜罐，结果被安全部门找到了

这本身也不是光靠改端口能解决的事啊。

我的话是 ssh 使用密钥登录，不允许 root 登录、密码登录，需要用到 root 用户的时候再用我的普通用户 su 过去，另外再使用 fail2ban 自动 ban 掉来爆破的 IP 。然后没改端口，倒也没什么问题，只是每天还是有很多 ban IP 记录……

现在不都是全端口扫吗 ssh 特征这么明显的

@vvhy
是不是派出所上门,然后让你整改。

@lyxxxh2 不是派出所，内部的安全部门，说有安全漏洞🤣

@yankebupt 21,22,3389,3306 这些全部是钓鱼用的，扫了就 ban IP

@lpdink 哪有这个表？