如何在互联网上隐藏 SSH 端口

mywaiting

2026-05-14T09:28:53Z

如何在互联网上隐藏 SSH 端口

众所周知的原因，大量的 Linux 服务器只能通过 SSH 进行管理，多数情况下可以使用云厂商的防火墙限制或者封禁（相当于来源 IP 白名单）对应的 SSH 端口（多数情况下都是 22 端口吧，毕竟是默认端口），但是如果是个人服务器的情况下，如何在互联网上隐藏 SSH 端口呢？毕竟互联网很危险啊，每时每刻都有大量的端口扫描器不停扫描然后爆破，登录日志一堆垃圾记录，看着很不舒服

因为自己用到，全网收集整理了一下各路网友的创新实践

修改 SSH 端口 + fail2ban

这是最基本的 SSH 安全措施了，但是，怎么说呢，有点类似脱裤子放屁，原则上 SSH 端口还是开着，不过实事求是来说，能省事一点，但是仍然没有达到隐藏 SSH 端口的目标

改高位端口意义不大，速度快的扫描器全端口扫描也就是十几秒的程度，尽管，意义上的确可以避免了那种大规模的扫描

端口敲门

默认关闭端口，只有按特定顺序访问几个端口后才临时开放真正服务端口，算是个比较经典的“隐蔽暴露面”方案，常见的实现方案如下

• fwknop 使用 UDP SPA（单包授权），安全性最高，但是需要客户端
• knockd 传统端口敲门，简单，无需客户端，但是需要时刻网卡监听流量
• nftables + 自定义脚本，纯内核规则，让 AI 写脚本吧，很简单的

这种方案算是比较完美实现隐藏 SSH 端口，算是比较不折腾的实现

实现内网绑定 SSH 端口

可以使用 Wireguard/Tailscale/Zerotier 等系列 VPN 实现自己的 VPN 内网，然后把 SSH 绑定在 VPN 内网即可，只要能连接上自己的 VPN 意义上你能实现绑定任意的内网服务

理论上这个方案才是比较完美的实现，但是考虑到国内上网需要特殊手段，这里需要自行研究

此处特别推荐 Tailscale 我觉得这个东西真是互联网从业者必备工具，无论从哪种层面上看，都是必备工具

写完传统的系列方案，是时候脑洞大开时刻了，这种歪门邪道很难见到

蜜罐端口/陷阱端口

开放 SSH/22 端口为陷阱端口，只要这个端口被扫描/连接就立刻拉黑 IP 地址，这样尽管没有达到完全隐藏 SSH 端口的目标，但是还是很有意义的，放陷阱端口的意义在于，除了骇客在扫，网安也在扫你，云服务商的各种外包云安全也在扫你，不想接受他们“插一杠子”式的服务的话，做个微型蜜罐有益无害

如果你使用 NFTables 可以参考以下 NFTables 脚本配置 防火墙配置有风险，请自负风险！

#!/usr/sbin/nft -f
flush ruleset

# #########################
# use at your own risk...
# #########################

table inet filter {
    set honeypot_ipv4 {
        type ipv4_addr
        flags dynamic,timeout
        timeout 1d
    }
    chain input {
        type filter hook input priority 0;
        iifname "lo" return
        ip saddr @honeypot_ipv4 counter drop
        tcp dport 22 add @honeypot_ipv4 { ip saddr timeout 1d }
    }
    chain forward {
        type filter hook forward priority 0;
    }
    chain output {
        type filter hook output priority 0;
    }
}

直接关闭 SSH 服务

直接关掉 sshd, 改用 ttyd 或 gotty 基于 https 协议访问, 有各种开源的 webssh 实现，方便随时浏览器访问。

这种算是换种口味吧，只是换了种形式的 SSH 服务，运维过程中其实不够方便，比如你需要 scp 就比较麻烦了

使用此种方式请务必能保证自己 web 端安全，不然一窝端

使用 IPv6 来绑定 SSH 服务

使用 IPv6 来绑定 SSH 服务，毕竟 IPv6 地址空间太大了，大不可能使用扫描器扫描得完，以常规的 /64 地址段，就足足有 2^64 个 IP 地址，这可是 VPS 厂商给你自己分配的私有 IP 地址段啊，随便挑一个自己觉得有意义又不太可能被猜得出来的 IP 地址用来绑 SSH 服务即可

只要把 SSH 唯一绑定在 IPv6 地址，直接绑在 22 端口也没啥问题，只要这个 v6 地址你不主动暴露，理论上在互联网上你就是个隐藏的 IP 地址

如果使用动态的 IPv6 地址，自己搞个 DDNS 动态转发一下即可，简单的就跟 AI 沟通一下，很简单的

综合起来，其实最简单的就是使用 IPv6 来绑定 SSH 服务，知识毕竟需要活学活用，有种“弱水三千，只取一瓢饮”的感觉