密钥登陆应该相当安全了吧，还需要装 fail2ban 之类吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3425 天前的主题，其中的信息可能已经有所发展或是发生改变。

或者还有什么建议的？

fail2ban

登陆

钥

12 条回复 • 2015-07-10 10:28:52 +08:00

402645707

2015-07-09 21:14:23 +08:00 via Android

22端口开shadowsocks
ssh改到25端口

geeklian

2015-07-09 21:20:02 +08:00

密钥很安全了，但不用fail2ban，你的日志会爆炸=.=

alect

2015-07-09 21:21:22 +08:00

ssh禁用root登录并且改端口才是最安全的

Daddy

2015-07-09 21:22:45 +08:00

@geeklian 那不怕fail2ban占资源吗？尤其128内存的小VPS的话

undeflife

2015-07-09 22:42:34 +08:00

@Daddy fail2ban是按设置定时扫描解析日志的

sinxccc

2015-07-09 22:53:05 +08:00

@402645707
@alect

我总感觉改端口没什么用的感觉，扫一下照样能扫出来…

402645707

2015-07-09 23:00:31 +08:00 via Android

@sinxccc 一般都是批量22端口
除非你的ip广为人知
扫描太费时间
而且ss也不具有明显的协议性，有点黑洞路由的特征
很难被认出来

ryd994

2015-07-09 23:02:01 +08:00 via Android

@sinxccc 有心要黑你，怎么样都会有办法
然而遇到的还是小学生多，换了端口之后还没几个人来扫。而且说到底安全性又不取决于端口，只是log看着碍眼而已

tini25

2015-07-09 23:09:37 +08:00

其实就算让它穷举，被破解的几率也很小吧

msg7086

2015-07-09 23:22:20 +08:00

@alect
@sinxccc
改端口只是辅助，不能作为主要安全手段。

@Daddy
相比sshd不停fork再exit一天几万次，fail2ban的资源占用并不算过分吧。

johnnyR

2015-07-09 23:29:14 +08:00

@sinxccc 改到1W以上扫到的几率会下降很多的

Havee

2015-07-10 10:28:52 +08:00

首先明了一点，并非 ssh 安全做足了，你的服务器就安全无忧了。如果被定点攻击，被拿到 root 的，反而不是通过 ssh，当然 ssh 弱口令除外。

单就 ssh 而言，禁 root，禁密码，改端口以后，除非你的私钥被人家拿到，否则不用担心。