这是一个创建于 2205 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2018-11-02 12:49:05 +08:00
上面放了两个 Docker 容器。
 |
1
notgood OP 主要是担心端口一直被扫会降低电脑性能吗?启用私匙应该不会被爆破吧。
|
 |
2
justfindu 2018-11-02 08:50:21 +08:00  2
安全操作不嫌少
|
 |
4
kernel 2018-11-02 09:05:45 +08:00 via Android
不用改。即使有这种大杀器也不会用在你的小鸡上。
|
 |
5
7654 2018-11-02 09:07:30 +08:00
改一改 1 秒的事
22 一直在爆破很好吗 |
 |
6
BOYPT 2018-11-02 09:11:17 +08:00
改一下节省爆破日志记录
|
 |
7
lestat 2018-11-02 09:17:02 +08:00 via Android
逗比根据地一键脚本了解一下
|
 |
8
zpf124 2018-11-02 09:56:21 +08:00
21 22 3389 除了准备钓鱼,否则还是不要开的好。 每分每秒 n 波扫描脚本。 尤其是国内的云平台上。
国内闲得无聊的买个 vps 搞事情的脚本 boy 非常多。 |
 |
10
NB40B938mff85mtq 2018-11-02 10:02:47 +08:00
我防火墙都关了~~~~
|
 |
11
likuku 2018-11-02 10:24:04 +08:00
|
 |
12
dot2017 2018-11-02 10:28:43 +08:00
我宁愿改端口也不用密钥,在外面不方便 =。=
|
|
13
notgood OP @likuku V 友好,我在 DO 上放了两个容器( 55 和 WP),该如何做安全加固? Ubuntu16 默认没有防火墙
|
 |
14
PulpFunction 2018-11-02 11:20:58 +08:00
@notgood 那就安装那个三个英文字母的防火墙啊
|
 |
15
jasonyang9 2018-11-02 11:24:52 +08:00
就喜欢用`lastb`看那些变着花样猜密码的豆 B
|
 |
16
jeffsun 2018-11-02 11:25:54 +08:00
把 ssh 密码登陆关了+该端口
|
|
17
NB40B938mff85mtq 2018-11-02 11:27:46 +08:00
@likuku 之前是全 drop,只留一个端口。。。。
|
 |
18
iceheart 2018-11-02 11:47:27 +08:00 via Android
让 ssh 只在 127.0.0.1 上 listen
用 kcptun 举例 1.server 端 server_linux_amd64 -l :45678 -t 127.0.0.1:22 --key yourpassword --crypt aes-192 2.本地(我用个 openwrt 的路由举例) client_linux_mipsle -l :2022 -r serverip:45678 --key yourpassword --crypt-192 3.测试一下 ssh root@路由器 ip -p 2022 4.服务器将 步骤 1 的命令加入 开机启动。 5.修改服务器的 sshd,改为 listen 127.0.0.1 |
 |
19
mario85 2018-11-02 11:54:55 +08:00 via iPhone
听说有些工具会偷你的 key
|
|
20
likuku 2018-11-02 12:08:40 +08:00
@notgood DO 本身自带有平台级别防火墙么?#没用过 DO; aws 和 vultr 都是有的。
优先使用平台的防火墙,好处很多,至少不用担心“把自己锁在门外”。 白名单是基本的,默认全封锁,明确用那个,就开那个,遵循 “最低授权原则”。 |
 |
21
malagebidi 2018-11-02 12:20:52 +08:00 via Android
Fail2ban 试一试
|
|
22
notgood OP |
|
23
notgood OP @malagebidi 请问上面放了两个 Docker 容器(55 和 WP),fail2ban 该如何添加规则?
|
 |
24
liuxyon 2018-11-02 13:03:11 +08:00
发现国内人不少人去 hack, 除了用 key, 还直接限制 ip 范围,只能自己 ip 登陆。
|
 |
25
findex 2018-11-02 13:08:36 +08:00
@liuxyon 总结一下,就是 iptables 设定,key 登录,root 密码禁止。
fail2ban 有不错的功能。一直有用(配置比较花时间和经历,看你需求)。ban 的话直接 ban IP。第一次 30 分钟,第二次 2 个小时。第三次 1 天这样的。。有钱的公司或者老爷直接上 x86 防火墙。可以用内网软路由类的防火墙,或者机房的实体硬件防火墙。挡挡 script kid 应该问题不大 |
|
26
malagebidi 2018-11-02 14:32:35 +08:00
@notgood fail2ban 安装后默认只针对 ssh 端口的防范,按需要可以把其他的服务都配置上比如 nginx、apache,ban 的规则也可以在配置文件中调整。55 不知道是什么,wp 的话我用了一个 Wordfence 插件
|
 |
27
akira 2018-11-02 16:31:35 +08:00
服务器只有相对安全
上面的东西不重要,你想怎么偷懒都行 上面的东西很重要,你怎么努力做都不够 |
 |
30
passerbytiny 2018-11-02 17:37:16 +08:00
@likuku #20 其它的不知道,但是 vultr 的防火墙是个坑,vultr 防火墙跟 vps 自身的 firewall-d 防火墙是完全独立的,改一次端口要改两个防火墙,我是直接把 vultr 防火墙关了。
|
|
31
likuku 2018-11-02 18:27:58 +08:00 1
@passerbytiny 优先使用平台的防火墙,好处很多,至少不用担心“把自己锁在门外”。
这也是 aws 官方教程和入门课程给的最佳实践建议,相比 os 自带 防火墙,使用更方便, 此外在管理很多实例时,即方便策略套用,也便于通过平台 SDK/CLI 来自动化配置。 |
 |
32
wjfz 2018-11-02 18:41:29 +08:00
总觉得这个标题怪怪的。
哦,lz 把私钥叫私匙😂 |
Select Language