[不懂就问] ssh 能够安全地修改 port 到 443 吗？

SSH 暴露在 22 端口还是 443 端口，安全上没区别啊
一般尽量不直接暴露 SSH 端口，需要通过跳板机或者 VPN ，至少防火墙设置下只允许指定 IP 段连接 SSH 端口，只是家用不太现实
校园网只要 SSH 仅用证书登录问题也不大，想保险的话，自己签发个证书，本机装 Stunnel 客户端，将指定端口的 SSH 数据 TLS 加密后发往学校服务器 443 端口，学校服务器装 Stunnel 服务端，将 443 端口接收到的数据解密后转发到本机 SSH 端口，相当于对整个 SSH 连接进行了透明转发+TLS 加密，只要自签发的证书没丢，基本也没多少风险

建议 OP 别做。把内网 ssh 偷偷映射到外网，建议你不要做。老老实实去申请 VPN 拨入。如果是在企业，这种行为抓到了是要被开除的；如果导致黑客入侵，搞不好要进去踩缝纫机的。

fedora server 自带 9090Web 管理服务，比较安全和纯粹，你可以把 443 端口转发到 9090

严格按照规矩来 不要作死

通过 nginx 代理还可以多个网站共存，通过默认空白服务，隐藏管理服务，密码使用工具自动生成保证强度和长度，启用系统自动更新。

你这个要 ssh 到的服务器是自己的资产吗，是放到宿舍里面使用的吗；如果是学校的资产，建议别做，出了问题要负责的

没有任何风险 ssh 用 80 吧，443 自己建站用

@NessajCN 我尽量阐述清楚我的情况：学校的 server 有一个公网 ip ，我有这个 server 的 root ，我之前有做过把 22port 修改到 443 ，然后绕过了学校的 block 。后来我觉得这样不安全，又给改回来了。 这个 server 目前只有我一个人在用，所以我能够确保没有 https 服务。不过大哥你说的这些对我来说有点超纲了， 我需要了解一下。。。

sslh 可以让 https 和 ssh 共用端口，原理就是让 sslh 监听 443 ，把不同类型的流量转发到不同端口；你可以把 ssh 流量直接转发到你自己的机器上。

@nightcc 这样做的话，学校的运维应该会检测到我有一个 sslh 的服务监听在 443 端口吧？

@yinmin
@imnpc
@zedpass
这个 server 是学校的资产。我之前作死弄过 443 端口 ssh ，后来细思极恐又给关了。这会儿正在严格审核分析大家的意见，看到底能不能行的通。

@rjagge 学校运维一般不会探测端口吧，但是你只要用这个端口总会有流量的，一般没人在意罢了。要避免探测，可以把除了你源地址外的流量 drop 了。那这样不如直接把 ssh 改成 443

我们实验室部分老师涉密，他们从来不用我们实验室服务器，但是这些服务器是走他们项目购买的，全部为涉密设备。楼主你要考虑好设备是否涉密，别到时候扯出事来，哪怕上面啥都没有也很难受

vpn 不能登吗？没让你用堡垒机已经够仁慈了。

在企业这是严重违规的高风险行为，不确定学校是否有相关的安全管控政策或条例。不过不管有没有相关政策，都不建议直接暴露内网的 ssh 到外部。

https://github.com/yrutschle/sslh

了解一下

强烈建议不要在校园资产上做有风险的事。

除非你认为收益大过毕业证书。

如果你的 root 是正当流程获取的，那不要辜负别人的信任。

如果你的 root 是非正当流程获取的，那你要小心可能会是个蜜罐。

可以，端口复用呗，我的 rdp tcp 还有代理 都是 81 端口

如果不做复用，就是你不用 443 端口做 https ，那直接改没任何问题，看描述学校并没有禁止这个操作，如果改完连不上，可能是学校禁止这样，就不要想着突破了。

学校可能只是出于安全考虑，限制了意外公开了不常见、风险高的端口，你既然主动暴露出去，那至少你知道有这么个事，安全性已经有一些了。反正没明确禁止这么干，自己保护好这个 ssh 就行了

用 haproxy 复用 443 端口，用 sni 隔离就可以。做好安全权限哦，或者你的机子本身就是隔离的。

话说学校的机子为什么不用 vpn 跳板回去。