ポート22だけでなくセカンダリポートも毎回試すようにsshを設定するにはどうすればよいですか？

ログのノイズを減らし、発見可能性を少し減らす（そしてfail2banに加えて、公開鍵認証のみを許可するなど）ための私の取り組みの一環として、別のポートに設定したサーバーのsshdポートを定期的に変更します（例：5492）。 sshコマンドに-p 5492を追加するか、特定の各サーバーのポートをmyに追加しますssh_config。

ポート22が機能しない場合に、ポート22とポート5492の両方に接続するようにsshを構成する方法はありますか？

シェルスクリプトをラップすることもできますがssh、sshそれ自体は行いません。

bash関数を使用する1つの方法は次の~/.bashrcとおりです（に入力）：

function ssh() { command ssh -p 22 "$@" || command ssh -p 5492 "$@"; }

ちなみに、ユーザーがポート5492などをリッスンするプロセスを回避するために、システムサービスにはroot-reservedポートを使用することをお勧めしsshます。したがって、1024未満のポートを使用します。

ssh例ではドキュメントがややまばらですが、それ自体がMatchドキュメント化された方法でこれを行うことができますssh_config(5)。この形式は、SSH構成に複雑さをプッシュしたい場合に適していssh_config(5)ますが、構文の制限によって制限されており、目的の結果を得るためにいくつかの操作が必要になる場合があります。特に、カスタムポートを設定できないか、前回のMatch試行から誤って設定されている可能性があります。これが、以下では、テスト時に2回、またはデフォルトに対して1回設定され、正規のデフォルトを確立するときに設定されない理由です。

# here we set the defaults for the host (no port!)
Match !canonical host testhost
  CanonicalizeHostname yes
  Hostname 192.0.2.42
  IdentityFile ~/.ssh/id_blahblah
  ...
# port available?
Match canonical host 192.0.2.42 exec "is-ssh-up %h 2222"
  Port 2222
# or the default port
Match canonical host 192.0.2.42
  Port 22

is-ssh-up 指定されたポートで何かが応答するかどうかを確認するだけで、次のようになります。

#!/usr/bin/env expect
package require Tcl 8.5
if {[llength $argv] < 2} {
   puts stderr "Usage: is-ssh-up host port"
   exit 1
}
puts stderr "is-ssh-up: DEBUG trying $argv"
set socket [socket -async [lindex $argv 0] [lindex $argv 1]]
chan event $socket readable [list exit 0]
after 3000 [list exit 1]
vwait godot

のワイルドカード機能を使用して、~.ssh/configこのエントリをリストに追加できます。

Host *
Port 5492

しかし、これだけでは22に戻りません。

最後に配置した場合でも、22が必要な場合は、その上に別の値を配置することで、それらのホストを上書きできます。（そして、あなたはいつでもそれをコマンドラインで上書きすることができます。）