密钥登陆应该相当安全了吧，还需要装 fail2ban 之类吗？

22端口开shadowsocks
ssh改到25端口

密钥很安全了，但不用fail2ban，你的日志会爆炸=.=

ssh禁用root登录并且改端口才是最安全的

@geeklian 那不怕fail2ban占资源吗？ 尤其128内存的小VPS的话

@Daddy fail2ban是按设置定时扫描解析日志的

@402645707
@alect

我总感觉改端口没什么用的感觉，扫一下照样能扫出来…

@sinxccc 一般都是批量22端口
除非你的ip广为人知
扫描太费时间
而且ss也不具有明显的协议性，有点黑洞路由的特征
很难被认出来

@sinxccc 有心要黑你，怎么样都会有办法
然而遇到的还是小学生多，换了端口之后还没几个人来扫。而且说到底安全性又不取决于端口，只是log看着碍眼而已

其实就算让它穷举，被破解的几率也很小吧

@alect
@sinxccc
改端口只是辅助，不能作为主要安全手段。

@Daddy
相比sshd不停fork再exit一天几万次，fail2ban的资源占用并不算过分吧。

@sinxccc 改到1W以上扫到的几率会下降很多的

首先明了一点，并非 ssh 安全做足了，你的服务器就安全无忧了。如果被定点攻击，被拿到 root 的，反而不是通过 ssh，当然 ssh 弱口令除外。

单就 ssh 而言，禁 root，禁密码，改端口以后，除非你的私钥被人家拿到，否则不用担心。