最も可能性の高い理由は、見つけたSSHログインをランダムにブルートフォースしようとする人々を困難にすることです。私のインターネット向けマシンはデフォルトのSSHポートを使用しており、ログは次のようなもので埋められていました(実際のログファイルから抜粋)。
sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user Oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user Tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96
最近、私は DenyHosts を使用して、認証に何度も失敗するIPをブロックしていますが、ポートを切り替えるのもおそらく同じくらい簡単です。事実上、この種のブルートフォース攻撃はすべて、sshdが別のポートでリッスンしているかどうかを確認するためにスキャンを行うことはなく、実行していないと想定して先に進みます。
SSHポートの変更は主に セキュリティシアター です。それはあなたに何かをしたという曖昧な感覚を与えます。 SSHポートを玄関マットの下に隠しました。
インターネット上でSSHサーバーを実行している場合、愚かな弱いパスワードを探しているボットからのログイン試行の失敗がログに多数表示されます 弱いキー サーバーの古いバージョンでの既知のエクスプロイト。失敗した試行は次のとおりです:failed試行。あなたがどれほど脆弱であるかを評価する限り、それらは完全に無関係です。心配する必要があるのは、侵入の試みが成功したことであり、ログにはそれらが表示されません。
デフォルトのポートを変更すると、そのようなボットによるヒット数が減りますが、それは、適切なセキュリティ(定期的に適用されるセキュリティ更新、適度に強力なパスワード、または無効なパスワード認証)によって阻止される最も洗練されていない攻撃者を阻止するだけです。唯一の利点は、ログの量を減らすことです。それが問題である場合は、 Denyhosts または Fail2ban のようなものを検討して、代わりに接続速度を制限してください。帯域幅も良好になります。
デフォルトのポートを変更すると、大きな欠点があります。ファイアウォールの背後からログインできなくなる可能性が高くなります。ファイアウォールは、ランダムな他のポートよりもデフォルトのポートでサービスを通過させる可能性が高くなります。 HTTPSサーバーを実行していない場合は、SSHがポート443でもリッスンするようにする(または着信TCP要求をポート443からポート22にリダイレクトする))ことを検討してください。一部のファイアウォールでは、可能なトラフィックが許可されます。 HTTPSのように見えるため、ポート443でデコードしません。