V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lingo233
V2EX  ›  Linux

看了下登陆日志真感人

  •  
  •   lingo233 · 2015-02-04 15:22:37 +08:00 · 8256 次点击
    这是一个创建于 3581 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一堆尝试root的你们都是怎么设置root密码的。
    我用了一堆长随机字符,连我自己都不知道23333。
    平时都是都是用一个带管理的小号登录
    50 条回复    2015-02-05 23:13:27 +08:00
    roricon
        1
    roricon  
       2015-02-04 15:51:09 +08:00
    限制root只能使用证书登录。
    eric
        2
    eric  
       2015-02-04 15:52:53 +08:00
    PermitRootLogin no
    PasswordAuthentication no
    sNullp
        3
    sNullp  
       2015-02-04 15:53:58 +08:00 via iPhone
    passwd -d root
    yylzcom
        4
    yylzcom  
       2015-02-04 15:55:34 +08:00 via Android
    改为非常用端口也有一堆尝试登录的?
    lingo233
        5
    lingo233  
    OP
       2015-02-04 15:56:32 +08:00
    @roricon 我嫌麻烦而且我比较喜欢用虚拟机登陆,没事经常没事重置一下。会悲剧
    @eric 我改过一次PermitRootLogin 不知道为什么其他账号也登不上了
    gjflsl
        6
    gjflsl  
       2015-02-04 16:03:55 +08:00
    二楼正解,修改ssh端口。服务器多又在同一个内网的话,防火墙关闭22端口,只允许局域网访问,然后一台机器配置好vpn。
    zealic
        7
    zealic  
       2015-02-04 16:22:04 +08:00
    仅允许私钥登录
    BoiledEgg
        9
    BoiledEgg  
       2015-02-04 16:26:32 +08:00
    关了22端口,改了个不常用的,lastb瞬间清净,都是机器人跑的,简单点弄就好。
    heiybb
        10
    heiybb  
       2015-02-04 16:26:44 +08:00
    VPS被两个IP分别上海交大和湖北大学的不分昼夜持续爆破了半个月,也没空去弄,反正破不出来
    tititake
        11
    tititake  
       2015-02-04 16:29:38 +08:00
    默认禁止root登录,禁止密码登录
    最后只允许内网即可

    AllowUsers [email protected].*
    AllowUsers normaluser
    Match Address 192.168.2.0/24
    PasswordAuthentication yes
    bugmenott
        12
    bugmenott  
       2015-02-04 16:30:55 +08:00
    PermitRootLogin without-password
    PasswordAuthentication no

    fail2ban
    qq446015875
        13
    qq446015875  
       2015-02-04 17:09:57 +08:00
    建议用证书认证,同时使用fail2ban,对于多次尝试登录的IP直接ban掉。
    我前段时间也是发现不停地有人在扫我的ssh
    果断用fail2ban,登录失败超过3次的IP直接拉黑三天
    xuhaoyangx
        14
    xuhaoyangx  
       2015-02-04 17:28:47 +08:00
    关闭22端口,特定长度大小的icmp包打开22端口一段时间。
    ericliuhe
        15
    ericliuhe  
       2015-02-04 17:57:33 +08:00 via iPhone
    改端口还是能扫描出来的吧?
    chairuosen
        16
    chairuosen  
       2015-02-04 17:59:42 +08:00
    用fail2ban
    bjzhush
        17
    bjzhush  
       2015-02-04 18:10:36 +08:00
    @xuhaoyangx 这个如何实现? 自己监听icmp然后启动sshd ?
    fashioncj
        18
    fashioncj  
       2015-02-04 18:12:12 +08:00
    rooot
        19
    rooot  
       2015-02-04 18:14:53 +08:00
    是在说俺么 各位大神
    cbsw
        20
    cbsw  
       2015-02-04 18:20:45 +08:00
    /t/143428 改端口之后就没事了

    刚才又去看了下日志,Nginx 有一堆请求 /wp-login.php, /phpMyAdmin/scripts/setup.php 等的,攻击无处不在啊,还好只是放了 orgmode 生成的静态文件
    zhangyh26258
        21
    zhangyh26258  
       2015-02-04 18:40:26 +08:00 via Android
    换端口,不准root登
    pythoner
        22
    pythoner  
       2015-02-04 19:06:28 +08:00
    1,禁止root用密码登录
    2,多次输入密码失败自动屏蔽ip
    lincanbin
        23
    lincanbin  
       2015-02-04 19:48:13 +08:00
    很正常,我vps刚创建没几天就一长串了
    braineo
        24
    braineo  
       2015-02-04 21:52:28 +08:00
    我刚刚也上去看了,真的好感人,都是中国IP………………
    codegear
        25
    codegear  
       2015-02-04 22:03:20 +08:00
    感动到几乎全是阿里云的IP……
    ooxxcc
        26
    ooxxcc  
       2015-02-04 22:06:23 +08:00
    两步验证保平安。。。
    lincanbin
        27
    lincanbin  
       2015-02-04 22:08:51 +08:00
    现在这个VPS才用了两个月,都80M登陆日志了……
    上一个VPS用了一年,登陆日志堆成山了
    wzzyj8
        28
    wzzyj8  
       2015-02-04 22:14:34 +08:00
    1. fail2ban超过3次直接锁定
    2. PermitRootLogin no
    3. 同吐槽,最近被ban的都是阿里云的,有什么典故在里面吗
    blankwonder
        29
    blankwonder  
       2015-02-04 22:18:41 +08:00
    架个 VPN,或者用青云的路由器,然后对外网不开放22端口。
    NeoAtlantis
        30
    NeoAtlantis  
       2015-02-04 22:48:28 +08:00
    禁止ssh登录root,其他帐号用一个我觉得比较偏门的名字,只能用公钥登录。
    另外root还可以配置二步认证,用google-authenticator。
    xuhaoyangx
        31
    xuhaoyangx  
       2015-02-05 00:08:30 +08:00   ❤️ 5
    @bjzhush
    #指定78字节的icmp数据包(包含IP头部20字节,ICMP头部8字节)通过被加入sshopen列表。
    iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT
    #检查sshopen列表是否存在你的来源IP,如果存在,即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭,不再允许新连接,已连接的不会断开。
    iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

    临时开启ssh端口密令
    linux下:ping -s 50 host
    windows下:ping -l 50 host
    likuku
        32
    likuku  
       2015-02-05 00:10:04 +08:00
    和2楼一样的作法
    yylzcom
        33
    yylzcom  
       2015-02-05 01:45:02 +08:00 via Android
    @ericliuhe 基本没人会去对单独一台VPS做端口扫描,基本上都是脚本批量扫,只针对22端口,只针对弱口令和网上已有密码库。所以,针对这种暴力破解,改高位数端口+随机生成的密码基本上就算安全了
    cevincheung
        34
    cevincheung  
       2015-02-05 01:48:09 +08:00
    @yylzcom 除非有人想搞你
    dawn009
        35
    dawn009  
       2015-02-05 02:45:21 +08:00
    @yylzcom 批量弱密码扫的,高强度密码就够防了。真有人想搞你,改了端口也没用。所以改不改端口其实没区别
    ericls
        36
    ericls  
       2015-02-05 03:06:20 +08:00 via Android
    把 root 的 登录 设置位 without-password
    laomutuo
        38
    laomutuo  
       2015-02-05 07:34:28 +08:00
    @sNullp root没有密码,只能通过sudo操作?
    sNullp
        39
    sNullp  
       2015-02-05 07:43:20 +08:00
    @laomutuo 是的
    sNullp
        40
    sNullp  
       2015-02-05 07:43:33 +08:00
    @laomutuo 或者 sudo su
    loading
        41
    loading  
       2015-02-05 07:55:41 +08:00
    请使用 fail2ban
    laomutuo
        42
    laomutuo  
       2015-02-05 08:53:57 +08:00
    @sNullp 那把root名字改掉和你这么做不是一样么?
    rangercyh
        43
    rangercyh  
       2015-02-05 09:05:31 +08:00
    ssh
    timothyye
        44
    timothyye  
       2015-02-05 09:10:40 +08:00 via Android
    只用证书登录,让他们慢慢猜密码去吧
    simo
        45
    simo  
       2015-02-05 09:56:07 +08:00
    fk了,之前没注意,刚才一看,5天的日志20M!
    sNullp
        46
    sNullp  
       2015-02-05 10:16:35 +08:00
    @laomutuo 。。。。。。改root名字会出各种bug吧。。。。
    wwek
        47
    wwek  
       2015-02-05 10:42:24 +08:00
    建议用证书,
    如果很懒还是想用帐号密码,
    禁止root登录~~ ,用普通帐号登录然后su 到root上去.
    或者给管理帐号开sudo nopass
    sopato
        48
    sopato  
       2015-02-05 11:14:00 +08:00
    跑在>10000的端口上,禁止root登录,禁止密码登录,使用密钥登录,肯花钱就上RSA的方案呗,或者屌丝一点用google做二次认证也行。
    Dk2014
        49
    Dk2014  
       2015-02-05 14:08:29 +08:00
    uJohnny
        50
    uJohnny  
       2015-02-05 23:13:27 +08:00
    证书登录
    密码登陆已关
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3582 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 00:56 · PVG 08:56 · LAX 16:56 · JFK 19:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.