你们买的境外服务器每天会有上千次的异地 ssh 尝试登陆吗,怎么解决的
AlisaDestiny · 2017-02-22 12:01:45 +08:00 · 8737 次点击这是一个创建于 2818 天前的主题,其中的信息可能已经有所发展或是发生改变。
怎么配置能让服务器更安全呀或者有办法让 ssh 登陆失败次数超过 10 次的 ip 加入黑名单。
第 1 条附言 · 2017-02-22 15:55:28 +08:00
感谢各位 V 友的回复。根据大家的回复我采取的简单有效的办法就是 换端口和禁止 root 登陆。因为会在不确定的电脑上登陆。所以用秘钥登陆不好使。
@privil 给的脚本。这个先存着。日后可能会用的上。
@privil 给的脚本。这个先存着。日后可能会用的上。
 |
1
hellojinjie 2017-02-22 12:02:38 +08:00 via Android  1
换端口就可以了啊
|
 |
2
LU35 2017-02-22 12:03:17 +08:00 via Android 1
改常用 ssh 端口,关闭密码登录使用密钥。
|
 |
3
vibbow 2017-02-22 12:03:30 +08:00 via Android 1
换端口
或者做防火墙规则,一个 ip 短期多次访问 ssh 端口,就加入黑名单。 |
 |
4
xxwar 2017-02-22 12:09:56 +08:00
fail2ban
|
 |
5
ProjectAmber 2017-02-22 12:10:53 +08:00 via iPhone 1
禁止密码登录,使用私钥登录。
防火墙(如 iptables )白名单。 禁止 root 用户登录。 更换 SSH 端口。 |
 |
6
jpuyy 2017-02-22 12:12:53 +08:00 2
/etc/ssh/sshd_config 中修改
MaxAuthTries restart sshd 用公钥没啥问题,换端口 nmap 一扫也就出来了 iptables 也只能用 ip 白名单之类的 |
 |
7
shiji 2017-02-22 12:14:53 +08:00 1
就让他们试呗。 如果你用的是密码,并且试个几百万次就能试出来,你那真的要考虑换个长一点的密码了。不过还是建议用证书登录并且限制只允许证书登录。
我的 3306 也是暴露在外网的。而且允许 root 远程登录。。已经好多年了,啥事没有, 我给 Mysql 启用了 SSL ,光知道密码是没用的。 |
 |
8
salmon5 2017-02-22 12:21:15 +08:00 1
换个端口就可以了。别折腾。
|
 |
9
hosiet 2017-02-22 12:22:39 +08:00 via Android 1
关闭密码登录,禁止 root 登录就够安全了,换端口加 fail2ban 之类的总感觉增加的复杂程度比得到的好处要大,得不偿失。
|
 |
10
abc123ccc 2017-02-22 12:50:28 +08:00
改端口 + wheel 组,试下
|
 |
11
xvx 2017-02-22 12:51:03 +08:00 via iPhone 1
不管他。
改端口,开防火墙,关闭密码登录,改用密钥登录。这些都搞了,还是发现一堆尝试 SSH 登录的。 所以我选择眼不见,心不烦。 |
 |
12
privil 2017-02-22 13:02:16 +08:00 1
链接: https://pan.baidu.com/s/1hsE7ZUk 密码: 3t7h 借鉴别人脚本,自己改的,和你的需求一模一样,十次失败自动加黑命单, crontab 设置每两分钟运行一次就好了
|
 |
13
xzpjerry731 2017-02-22 13:05:03 +08:00
北美 DO, 没禁密码登陆前某日试过上万次, 一查 ip 都是天朝的
|
 |
14
miyuki 2017-02-22 13:05:59 +08:00 via Android
fail2ban
|
 |
16
phrack 2017-02-22 13:06:58 +08:00 via Android 1
我都是随意的,几十位长的密码,要试就试去吧
|
 |
17
Troevil 2017-02-22 13:11:05 +08:00
fail2ban
|
 |
18
zrj766 2017-02-22 13:11:45 +08:00 via Android 1
重要机子上了密钥和 fail2ban ,其他的字母数字符号组合,自己慢慢试吧→_→
|
 |
19
lyragosa 2017-02-22 13:12:31 +08:00 1
fail2ban 啊, 1 小时内密码错 5 次 ban24 小时
有本事慢慢爆破着玩呗。 |
 |
20
abclearner 2017-02-22 13:35:47 +08:00 1
之前 fail2ban 没设置好 一天也有几千次
现在弄成 10min 内错 3 次 禁 3 天 一天也有几百次 |
 |
21
dudesun 2017-02-22 13:48:49 +08:00
不要用密码登陆,使用私钥登录
|
 |
22
AstroProfundis 2017-02-22 13:54:56 +08:00 1
我基本上都是,禁用密码登录,有些换端口有些懒得搞就没换,然后装个 fail2ban 搞定,多数发行版上的 fail2ban 都是默认加了 ssh 的配置的,也可以自己再调整得更严
|
 |
23
isCyan 2017-02-22 13:55:44 +08:00 via Android
换什么端口, fail2ban 各种密码破解自动封禁方便得很
|
 |
24
GoBeyond 2017-02-22 14:06:21 +08:00 via Android 1
登就登呗,好像他们能登上去一样
|
 |
25
shalk 2017-02-22 14:06:27 +08:00 1
禁止密码登录 差不多了
|
 |
26
WayneLin 2017-02-22 14:06:52 +08:00 1
换端口,禁用 root ,私钥登录,基本楼上都说了,简单有效。
|
 |
27
wangcansun 2017-02-22 14:10:44 +08:00
我是关闭密码登录,使用密钥的。。。本来每天也有很多攻击,后来就没了
|
 |
28
txydhr 2017-02-22 14:10:49 +08:00 via iPad
正常的
|
 |
29
liangch 2017-02-22 14:13:02 +08:00
fail2ban + 1
|
 |
30
kenshin912 2017-02-22 14:13:23 +08:00
Fail2ban 解决的 , 端口我懒得改了...
另外我还禁止了 root 登录. |
 |
31
RqPS6rhmP3Nyn3Tm 2017-02-22 14:16:17 +08:00
我用 GPG 智能卡登陆
除非你把我给砍了拿走我的智能卡,否则基本上还是安全的 |
 |
32
AntonChen 2017-02-22 14:40:06 +08:00
装个蜜罐玩
|
 |
33
lcorange 2017-02-22 15:08:41 +08:00
fail2ban
禁了 root 和密码登录,只用密钥 |
 |
34
laydown 2017-02-22 15:47:47 +08:00
密码登录开着,加一个两步验证就好。
|
 |
35
est 2017-02-22 15:53:34 +08:00
port knocking 没人用?
|
 |
36
kevin8096 2017-02-22 16:04:37 +08:00
写个脚本 加入 host.deny
|
 |
37
abirdcanfly 2017-02-22 16:54:53 +08:00
吓的我立马把 ss 服务器改成 lastpass 生产的 20 位密码
|
 |
38
clino 2017-02-22 16:59:10 +08:00
@abirdcanfly ss 一样可以用 fail2ban 来禁,我就开启了这个
|
 |
39
avichen 2017-02-22 17:09:45 +08:00
fail2ban+X
|
 |
40
bao3 2017-02-22 17:29:24 +08:00 1
#39 楼有效, SSH 换端口没意义的,用软件一扫就能找到新端口了。用密码登录肯定不安全,除非复杂到 10 几位。
|
 |
41
sundong 2017-02-22 20:22:24 +08:00 1
开启 iptables 只允许某些 ip 访问这台主机的 22 端口
iptables -A INPUT -s *.*.*.* , *.*.*.* -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP |
 |
42
lovejoy 2017-02-22 20:26:05 +08:00
我一小破路由器放公网上都有人来探测,尤其是阿里云的 IP
|
 |
43
fhefh 2017-02-22 20:26:47 +08:00
安装了 fail2ban
 |
 |
44
ETiV 2017-02-22 20:37:45 +08:00 1
我写了个程序监听在 22 上,有人连上来就吐 fuck you 字符串回去
|
 |
45
laiyingdong 2017-02-22 20:51:29 +08:00
被扫了?有时候 IP 地址不干净被人攻击那更惨
|
 |
47
cxbig 2017-02-22 21:26:28 +08:00 1
1. 换个端口
2. 禁 root 登录 3. 禁密码登录,只允许 ssh-key 4. 安装 fail2ban |
 |
48
Pangdouya 2017-02-22 21:27:59 +08:00
密钥登陆+fail2ban
|
 |
49
wenymedia 2017-02-22 21:44:19 +08:00 via Android
实在不放心就搞个可靠公网 IP 的服务器 做跳板机
|
 |
52
lan894734188 2017-02-23 03:05:22 +08:00 via Android
ssh only 监听内网 ipsec 大内网
|
|
53
RqPS6rhmP3Nyn3Tm 2017-02-23 03:11:20 +08:00 via iPhone
@ryd994 用实物而非密码的一个优点就是可以直接冲进厕所,然后我也没办法解了
|
 |
54
cevincheung 2017-02-23 04:26:34 +08:00
fail2ban 换用 key 登录
|
 |
55
Keyes 2017-02-23 10:02:45 +08:00 1
yum install denyhosts
systemctl enable denyhosts systemctl start denyhosts 登录换证书 以上,安心放假 |
|
56
Keyes 2017-02-23 10:03:49 +08:00 1
不确定的电脑也没问题,用 agent forwarding ,密钥放在另一个机器上
|
 |
57
chuhemiao 2017-02-23 10:05:37 +08:00
怎么知道他请求了那么多次的?
|
 |
58
AlisaDestiny OP |
|
59
AlisaDestiny OP @chuhemiao cat /var/log/secure |grep Failed
|
 |
60
MrXiong 2017-02-23 10:45:50 +08:00
centos 安装 fail2ban 按照教程,查看日志发现 Jail ssh-iptables is not a JournalFilter instance ,没有拦截日志怎么破
|
|
61
chuhemiao 2017-02-23 10:46:19 +08:00
@AlisaDestiny 我擦,我发现我的更多 233333 ,阿里云也被黑..
|
 |
62
nanjishidu 2017-02-23 10:50:22 +08:00
@ETiV 好机智
|
Select Language