这是一个创建于 3253 天前的主题,其中的信息可能已经有所发展或是发生改变。
怎么配置能让服务器更安全呀或者有办法让 ssh 登陆失败次数超过 10 次的 ip 加入黑名单。
第 1 条附言 · 2017 年 2 月 22 日
感谢各位 V 友的回复。根据大家的回复我采取的简单有效的办法就是 换端口和禁止 root 登陆。因为会在不确定的电脑上登陆。所以用秘钥登陆不好使。
@privil 给的脚本。这个先存着。日后可能会用的上。
@privil 给的脚本。这个先存着。日后可能会用的上。
 |
1
hellojinjie 2017 年 2 月 22 日 via Android  1
换端口就可以了啊
|
 |
2
LU35 2017 年 2 月 22 日 via Android 1
改常用 ssh 端口,关闭密码登录使用密钥。
|
 |
3
vibbow 2017 年 2 月 22 日 via Android 1
换端口
或者做防火墙规则,一个 ip 短期多次访问 ssh 端口,就加入黑名单。 |
 |
4
xxwar 2017 年 2 月 22 日
fail2ban
|
 |
5
ProjectAmber 2017 年 2 月 22 日 via iPhone 1
禁止密码登录,使用私钥登录。
防火墙(如 iptables )白名单。 禁止 root 用户登录。 更换 SSH 端口。 |
 |
6
jpuyy 2017 年 2 月 22 日 2
/etc/ssh/sshd_config 中修改
MaxAuthTries restart sshd 用公钥没啥问题,换端口 nmap 一扫也就出来了 iptables 也只能用 ip 白名单之类的 |
 |
7
shiji 2017 年 2 月 22 日 1
就让他们试呗。 如果你用的是密码,并且试个几百万次就能试出来,你那真的要考虑换个长一点的密码了。不过还是建议用证书登录并且限制只允许证书登录。
我的 3306 也是暴露在外网的。而且允许 root 远程登录。。已经好多年了,啥事没有, 我给 Mysql 启用了 SSL ,光知道密码是没用的。 |
 |
8
salmon5 2017 年 2 月 22 日 1
换个端口就可以了。别折腾。
|
 |
9
hosiet 2017 年 2 月 22 日 via Android 1
关闭密码登录,禁止 root 登录就够安全了,换端口加 fail2ban 之类的总感觉增加的复杂程度比得到的好处要大,得不偿失。
|
 |
10
abc123ccc 2017 年 2 月 22 日
改端口 + wheel 组,试下
|
 |
11
xvx 2017 年 2 月 22 日 via iPhone 1
不管他。
改端口,开防火墙,关闭密码登录,改用密钥登录。这些都搞了,还是发现一堆尝试 SSH 登录的。 所以我选择眼不见,心不烦。 |
 |
12
privil 2017 年 2 月 22 日 1
链接: https://pan.baidu.com/s/1hsE7ZUk 密码: 3t7h 借鉴别人脚本,自己改的,和你的需求一模一样,十次失败自动加黑命单, crontab 设置每两分钟运行一次就好了
|
 |
13
xzpjerry731 2017 年 2 月 22 日
北美 DO, 没禁密码登陆前某日试过上万次, 一查 ip 都是天朝的
|
 |
14
miyuki 2017 年 2 月 22 日 via Android
fail2ban
|
 |
16
phrack 2017 年 2 月 22 日 via Android 1
我都是随意的,几十位长的密码,要试就试去吧
|
 |
17
Troevil 2017 年 2 月 22 日
fail2ban
|
 |
18
zrj766 2017 年 2 月 22 日 via Android 1
重要机子上了密钥和 fail2ban ,其他的字母数字符号组合,自己慢慢试吧→_→
|
 |
19
lyragosa 2017 年 2 月 22 日 1
fail2ban 啊, 1 小时内密码错 5 次 ban24 小时
有本事慢慢爆破着玩呗。 |
 |
20
abclearner 2017 年 2 月 22 日 1
之前 fail2ban 没设置好 一天也有几千次
现在弄成 10min 内错 3 次 禁 3 天 一天也有几百次 |
 |
21
dudesun 2017 年 2 月 22 日
不要用密码登陆,使用私钥登录
|
 |
22
AstroProfundis 2017 年 2 月 22 日 1
我基本上都是,禁用密码登录,有些换端口有些懒得搞就没换,然后装个 fail2ban 搞定,多数发行版上的 fail2ban 都是默认加了 ssh 的配置的,也可以自己再调整得更严
|
 |
23
isCyan 2017 年 2 月 22 日 via Android
换什么端口, fail2ban 各种密码破解自动封禁方便得很
|
 |
24
GoBeyond 2017 年 2 月 22 日 via Android 1
登就登呗,好像他们能登上去一样
|
 |
25
shalk 2017 年 2 月 22 日 1
禁止密码登录 差不多了
|
 |
26
WayneLin 2017 年 2 月 22 日 1
换端口,禁用 root ,私钥登录,基本楼上都说了,简单有效。
|
 |
27
wangcansun 2017 年 2 月 22 日
我是关闭密码登录,使用密钥的。。。本来每天也有很多攻击,后来就没了
|
 |
28
txydhr 2017 年 2 月 22 日 via iPad
正常的
|
 |
29
liangch 2017 年 2 月 22 日
fail2ban + 1
|
 |
30
kenshin912 2017 年 2 月 22 日
Fail2ban 解决的 , 端口我懒得改了...
另外我还禁止了 root 登录. |
 |
31
RqPS6rhmP3Nyn3Tm 2017 年 2 月 22 日
我用 GPG 智能卡登陆
除非你把我给砍了拿走我的智能卡,否则基本上还是安全的 |
 |
32
AntonChen 2017 年 2 月 22 日
装个蜜罐玩
|
 |
33
lcorange 2017 年 2 月 22 日
fail2ban
禁了 root 和密码登录,只用密钥 |
 |
34
laydown 2017 年 2 月 22 日
密码登录开着,加一个两步验证就好。
|
 |
35
est 2017 年 2 月 22 日
port knocking 没人用?
|
 |
36
kevin8096 2017 年 2 月 22 日
写个脚本 加入 host.deny
|
 |
37
abirdcanfly 2017 年 2 月 22 日
吓的我立马把 ss 服务器改成 lastpass 生产的 20 位密码
|
 |
38
clino 2017 年 2 月 22 日
@abirdcanfly ss 一样可以用 fail2ban 来禁,我就开启了这个
|
 |
39
avichen 2017 年 2 月 22 日
fail2ban+X
|
 |
40
bao3 2017 年 2 月 22 日 1
#39 楼有效, SSH 换端口没意义的,用软件一扫就能找到新端口了。用密码登录肯定不安全,除非复杂到 10 几位。
|
 |
41
sundong 2017 年 2 月 22 日 1
开启 iptables 只允许某些 ip 访问这台主机的 22 端口
iptables -A INPUT -s *.*.*.* , *.*.*.* -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP |
 |
42
lovejoy 2017 年 2 月 22 日
我一小破路由器放公网上都有人来探测,尤其是阿里云的 IP
|
 |
43
fhefh 2017 年 2 月 22 日
安装了 fail2ban
 |
 |
44
ETiV 2017 年 2 月 22 日 1
我写了个程序监听在 22 上,有人连上来就吐 fuck you 字符串回去
|
 |
45
laiyingdong 2017 年 2 月 22 日
被扫了?有时候 IP 地址不干净被人攻击那更惨
|
 |
47
cxbig 2017 年 2 月 22 日 1
1. 换个端口
2. 禁 root 登录 3. 禁密码登录,只允许 ssh-key 4. 安装 fail2ban |
 |
48
Pangdouya 2017 年 2 月 22 日
密钥登陆+fail2ban
|
 |
49
wenymedia 2017 年 2 月 22 日 via Android
实在不放心就搞个可靠公网 IP 的服务器 做跳板机
|
 |
52
lan894734188 2017 年 2 月 23 日 via Android
ssh only 监听内网 ipsec 大内网
|
|
53
RqPS6rhmP3Nyn3Tm 2017 年 2 月 23 日 via iPhone
@ryd994 用实物而非密码的一个优点就是可以直接冲进厕所,然后我也没办法解了
|
 |
54
cevincheung 2017 年 2 月 23 日
fail2ban 换用 key 登录
|
 |
55
Keyes 2017 年 2 月 23 日 1
yum install denyhosts
systemctl enable denyhosts systemctl start denyhosts 登录换证书 以上,安心放假 |
|
56
Keyes 2017 年 2 月 23 日 1
不确定的电脑也没问题,用 agent forwarding ,密钥放在另一个机器上
|
 |
57
chuhemiao 2017 年 2 月 23 日
怎么知道他请求了那么多次的?
|
 |
58
AlisaDestiny OP |
|
59
AlisaDestiny OP @chuhemiao cat /var/log/secure |grep Failed
|
 |
60
MrXiong 2017 年 2 月 23 日
centos 安装 fail2ban 按照教程,查看日志发现 Jail ssh-iptables is not a JournalFilter instance ,没有拦截日志怎么破
|
|
61
chuhemiao 2017 年 2 月 23 日
@AlisaDestiny 我擦,我发现我的更多 233333 ,阿里云也被黑..
|
 |
62
nanjishidu 2017 年 2 月 23 日
@ETiV 好机智
|
Select Language