我只知道在 ubuntu 有个 var/log/auth.log 是查看登陆失败, centos 是 /var/logsecure

除了不使用应用的默认端口外还有其他什么好的策略么?
堡垒机，VNC 远程，防火墙 IP 白名单等
外加非常规端口，非常规账号名

改端口 + 密钥

装个 suricata，enable 几个规则集，然后把规则集里跟 nmap 相关的规则取消注释，最后让 suricata 跑起来，看日志就行。
不过应该还有一种更简单的方法，就是只需开启 iptables 的日志功能就 ok

一楼提到的 IP 白名单就很不错，基本够应付了。

这个不清楚，不过我只用公钥认证登录。

tcpdump port 22 and host not x.x.x.x(the ip address where you login)

https://www.v2ex.com/t/527455

每天都有肉鸡狂扫我服务器的端口，我通过路由器入站日志发现的。除了关闭不必要的端口，提高密码安全性，IP 白名单，修改默认端口，定期升级软件，添加一定的身份认证门槛外好像没什么别的方法了。

端口只开了 22，80，443 扫就扫了，无所谓

fail2ban

两步认证。不想改系统服务的话可以拉一个 container，用 container 接管 ssh 服务接入。

或者装个 snort

powershell 版 ssh-denyhost
ps1 下载：
https://pan.baidu.com/s/16deKKe3ZnCg809lffiVZWg

利用 iptables 防火墙记录 drop 的日志你就知道有没有人在扫描你的服务器了，我就是这么做的。