公有云上没有公网 ip 的机器，有必要关闭 22 端口，改用其他端口么？

没明白，“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口？

没有公网的机器不会被扫描到，要么堡垒机攻陷入侵内网，或设置了内网转发。有人的地方小心内部攻击，你自己的玩具就随便~

我用到的安全设置
1、改端口
避开大部分脚本扫描
2、使用 SSH 公钥登录
云厂商都可以一键创建 SSH 公钥和绑定实例，安全性大大提高。
3、使用 fail2ban
设置一分钟内失败 5 次封禁 IP 24 小时。

SSH 建议用公钥，并完全停用键盘交互(密码)登录。

其他的，比如改端口、port knocking 都不建议。
因为这些只是将你的 SSH 服务放进一个迷宫，而不是加上一把足够坚固的锁。

别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.

@avrillavigne 是的，就指定了某一台主机可以用 22 端口连接，其他都不行，而这台主机也是内网中的，没有外部访问途径。

@Hardrain 是的，我也是这样考虑的，接手过来的时候都是用密码存储的，纯内网的，之前估计没考虑那么多，现在是涉及到公网了，所以就麻烦了。

@CallMeReznov 我自己的公网机器是瞬间爆炸，我回头看看那几台内网的，我的天。

1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
2 使用 SSH 秘钥登录
3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口

以上的要配置起来, 也就 10 分钟的事情, 挺快的.

@mattx 我指的是内网的主机，这个 gfw 应该影响不到的把？ 有几千台主机，感觉该写个脚本批量设置密钥了

@meowoo #8 内网的话感觉没必要, 设置秘钥确实可以做个脚本来处理下.

改端口防那些机器人无脑扫描

@flynaj 主要是内网机器，应该不会被扫描啊