一些增强 SSH 安全性的技巧 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3387 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://www.linux.com/learn/tutorials/305769-advanced-ssh-security-tips-and-tricks

29 条回复 • 2015-09-11 15:32:07 +08:00

1

msg7086

2015-08-08 03:15:25 +08:00

其实主要就是证书登录+banIP

2

hbkdsm

2015-08-08 06:25:50 +08:00 via Android

赞

3

anubiskong

2015-08-08 07:26:21 +08:00

我是这样做的:
改ssh端口, 禁ping, 只保留必要端口其他的封, 不允许用户名密码登陆只能用秘钥登陆
求高手给意见

4

imnpc

2015-08-08 07:37:10 +08:00

我主要使用证书登录和 google的双因素验证

5

dommyet

2015-08-08 07:38:46 +08:00 via Android

端口没改 root只允许证书登录但是因为那个机器的非root用户有用密码登录的需求来碰密码的以为root也是用密码的每天都有来自一两个IP的几万次碰撞后来就用fail2ban直接封禁24小时

6

clino

2015-08-08 07:54:29 +08:00

@dommyet 改ssh端口应该会没什么会来攻击了
以前用denyhosts太方便了,完全不用配置,现在没这个用真不爽

7

exuxu

2015-08-08 08:10:21 +08:00

如果是固定IP的话可以限制IP登陆

8

invite

2015-08-08 09:06:11 +08:00

该端口，只是减少攻击可能性，针对全端口扫描，是没意义的。

9

skyworker

2015-08-08 09:26:13 +08:00

@invite 改端口能屏蔽大部分小白的攻击。真的要对你的IP进行全端口扫描的话，那就是你已经被盯上了

10

xiaket

2015-08-08 09:42:09 +08:00

一个另外会被忽视的问题是, agent forward一定不要默认打开.

11

wbsdty331

2015-08-08 09:53:47 +08:00

关闭root登录，只用证书限制IP

12

402645707

2015-08-08 09:56:10 +08:00 via Android

@skyworker 表示我的一堆ss日志里天天出现同一个加拿大ip在试密码
shadowsocks监听22端口难道扫描器识别不出来吗

13

ooxxcc

2015-08-08 10:17:52 +08:00

证书登录，两步验证，fail2ban都上了。。

14

fuxkcsdn

2015-08-08 10:32:04 +08:00 via iPhone

@imnpc
@ooxxcc
求细节
我以前配置过证书加二步认证，但总是会要求输入密码，而密码怎么输也不对，必须把允许密码登陆开启才行
就变成又允许证书登陆又允许密码登陆加二步认证

15

alexyangjie

2015-08-08 10:33:26 +08:00

证书验证+二步验证+换端口+Fail2ban+限定账户登录

16

wclebb

2015-08-08 10:36:01 +08:00

还以为是管理员

17

Mark24

2015-08-08 11:15:12 +08:00 via Android

赞

18

napsterwu

2015-08-08 12:11:48 +08:00

关密码＋私钥登陆是必须的

不过我换端口还是不方便，我把fail2ban封禁阈值设到最小，封禁时间设到最大，反正也没有必要解封，效果还可以。

19

rainy3636

2015-08-08 13:14:12 +08:00

PermitRootLogin without-password
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

20

AVC

2015-08-08 15:33:42 +08:00 via Android

fail2ban最大尝试2次，失败ban 1000000000秒all ports。反正都是用xshell或者juicessh密码都是保存不会出错。

21

crazycen

2015-08-08 15:40:03 +08:00

关闭密码登录，使用证书登录才是出路！

22

ychongsaytc

2015-08-08 21:25:48 +08:00

改端口 <<<< IP Scanner / ScanPort

23

gdtv

2015-08-08 21:53:22 +08:00

我曾经用证书登录，后来丢失证书了，然后就没有然后了

24

sobigfish

2015-08-09 10:53:17 +08:00

端口必须改啊，不是安不安全的事，一天被扫很烦啊，那么多log
加2fa : TOTP / FIDO U2F也是很爽的

rsa和dsa 哪个安全点 ? 话说github已经建议4096的rsa了

25

ooxxcc

2015-08-09 11:23:11 +08:00

1

@fuxkcsdn https://wiki.archlinux.org/index.php/Google_Authenticator

26

fuxkcsdn

2015-08-09 15:59:01 +08:00

@ooxxcc
感谢
之前配置的时候也是参考这页面的，估计当时是没留意 openssh 版本问题

27

vibbow

2015-08-10 02:12:50 +08:00

@sobigfish 个人用的是 ECDSA/secp256k1

28

vibbow

2015-08-10 09:28:42 +08:00

https://pic.vsean.net/di/T87C/CMAp6xRVEAAl3pm.png
用Hipchat + PHP做的SSH登录通知

29

likuku

2015-09-11 15:32:07 +08:00

只改端口就以为安全.....土羊，土森破

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 5668 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 86ms · UTC 06:26 · PVG 14:26 · LAX 22:26 · JFK 01:26
Developed with CodeLauncher
♥ Do have faith in what you're doing.