家里公网 ip，准备把 22 端口开放用来 ssh 家里电脑，会有风险吗，密码需要改成那种强密码吗？

不用 22 端口，改成高位的。开放五年了，密码 123456 没遇到问题

@wxw752 运气好

改成禁止口令登陆只允许密钥登陆更安全

密钥登录 +fail2ban

用 vpn 或者 zerotier/tailscale 之类的先回家，然后再内网 ssh 稳妥的多。

不用 22, 换成自定义端口, 可以避免绝大部分的问题.

经常攻击的朋友都知道, 比如发现了 ssh 某个版本的 bug, 写个脚本进行如下流程
1. 拿到上海浦东的所有 IP 段
2. 然后扫描每个 IP 的 22 端口是否是通的
3. 如果端口是通的, 就开始利用漏洞进行攻击
4. 攻击进去后, 设置后门, 并添加到肉鸡队列
5. 扫描完成后, 换别的 IP 段继续

不用 22 换其他端口

@ssgooglg #2 和运气一点关系没有。又不是北上广，没那么多人全号段全端口扫描

建议套一层 vpn/ss/ zerotier/tailscale/surge ponte

1.建议 ssh 端口改掉，然后改成很复杂的密码，最好自己也记不住那种，让机器账号自动记忆
2.改用 异地组网，zerotier 或者 tailscale 这种，不然天天有人尝试登录你机器。我现在机器就天天有人在爆破登录

@wxw752 #1 你真的检查了吗？会不会是早被爆了却没发现？

我也高位端口开了多年，时不时能看到尝试登录记录。

还有一次用的以前在网上被爆过的密码，我以为改成了只允许密钥登录就无所谓，也没认真测试。
没想到 Ubuntu 默认在 50-cloud-init.conf 里配了允许密码登录(很难理解)，而且会覆盖 sshd_config 里配的禁止。
有一天感觉有点不对才发觉。

密码复杂点或者用密钥，没啥大问题，我开了好几年了，虽然日志中有企图登录的记录不少
其实我最想开的是 80 或 443 端口，可是特喵的这两个是封禁的

@lingex #11 看啊，时不时看一下 lastb ，再就是 cat 看看 secure 那个 log

换端口禁密码用公钥

在上家公司某款软件在 Windows 上做内网部署试用，开放了公网端口给供应商做部署和远程调试，图方便就用了 admin+123456 ，但不是 3398 端口，仅放了一个周末，被安装了勒索软件

我自己的主机都是高位端口、证书登录、fail2ban 一起上的，而且禁止 root 账号从 ssh 直接登录，只有普通用户有权限登录，进系统后 sudo

至少要把端口改掉

不改 22 端口你会发现每秒至少几十次登陆尝试

宽带公网好像是禁用了 1024 以下端口，必须换高位端口号

@wxw752 #13 真不相信没被搞，这么弱的密码一击就命中了，哪会记到 lastb 里，/var/log 给你搞成只读，啥都记录不了

搞不好进去过的都在里面开 party 了。。。

包一层 VPN 走内网