SSH2 更换端口

最近因为家里更换了移动线路，服务器的远程VPN连不上（目前属于移动后台问题，还在处理当中），在查询故障原因的时候偶然发现服务器的SSH端口不断有人attack。下面把处理方法如下：

查看日志

tail -f /var/log/secure

日志当中包含大量未知用户名和弱口令的登录信息，具体如下

Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Failed password for invalid user jenkins from 36.155.115.72 port 39234 ssh2

Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Received disconnect from 36.155.115.72 port 39234:11: Bye Bye [preauth]

Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Disconnected from 36.155.115.72 port 39234 [preauth]

Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: Invalid user irc from 125.91.112.127 port 58356

Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: input_userauth_request: invalid user irc [preauth]

Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: pam_unix(sshd:auth): check pass; user unknown

Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.91.112.127

根据统计，这是其中一部分，IP地址来自世界多地，但攻击频率不高，应该是被当肉鸡扫描了。

     攻击IP         攻击次数

99.153.45.121         2

119.97.240.83         4

36.155.115.72         4

125.91.112.127       2

106.12.86.205         1

........

处理方法：修改默认端口号

[root@server ~]# vim /etc/ssh/sshd_config

#Port 22

Port 12345                 #其他空闲端口号

最后添加防火墙端口放行即可

注：以上资料来自互联网，已实际测试。