买的本来想放 blog 的云服务器,都闲置了好久了,端口不是 22,很少登上去看,之前印象很清净,只有一堆恶意 80 443 端口的。
今天偶然发现一堆失败记录,之前吐槽恶意访问的时候有 v 友说 fail2ban,所以当时也是顺带做了 sshd 登陆失败的 ip ban 的,但好像没什么效果 毕竟发现很多尝试的记录 而且还在继续尝试。
linux 比较生疏,v 友们我需要做什么应对措施比较好呢?
1
BrettD 2020-11-29 13:54:39 +08:00 via iPhone
改成公钥登陆,一劳永逸
|
2
opengps 2020-11-29 14:07:26 +08:00
公网扫描器一大堆,对外只开通业务必须的端口,比如 web 用的 80
管理用的 22,3389 改成非常规端口 数据服务用的端口比如 3306,1433,6379 尽可能避免对公网开放,确实要开放则通过安全组改下端口,限制下 ip 白名单 |
3
firefox12 2020-11-29 14:15:58 +08:00
改端口是必须的
|
4
codyfeng 2020-11-29 14:34:39 +08:00 via Android
> 好像没什么效果
是不是改了 sshd 端口后,没有对应更改 fail2ban 封的端口? |
5
opengps 2020-11-29 14:49:02 +08:00
fail2ban 可以针对来自单个 ip 的多次尝试,没法针对来自全网扫描器的不同 ip 的各自尝试
|
6
jim9606 2020-11-29 14:49:12 +08:00 1
那玩意直接忽略就好,就当是豫州背景辐射。
反正我是封掉密码登录的。 你要自信地相信 OpenSSH 是目前最注重安全性的开源软件。 |
7
unixeno 2020-11-29 15:29:56 +08:00 via Android
不要用弱口令就行了
|
8
Lemeng 2020-11-29 16:10:13 +08:00
管他干啥,用的时候没问题。没耽误,就行了
|
9
way2create OP |
10
sjmcefc2 2020-11-29 16:42:16 +08:00
有什么措施可以可视化这些非法登陆呢
|
11
codyfeng 2020-11-29 16:43:01 +08:00
@way2create #9
1. 不知道你的配置,据我所知 fail2ban 默认 sshd jail 只 ban port 22,因此如果你的 sshd port 不是 22 有可能相当于没 ban 。查一下 /var/log/fail2ban.log 有没有“already banned”可以验证。 2. 可以用 port knocker 隐藏 sshd port 。 |
12
lewis89 2020-11-29 17:17:53 +08:00
不要用密码 全改成公钥就完事了 4096 加密的让它去破吧
|
13
freecloud 2020-11-29 17:30:27 +08:00
改个端口,用私钥登录吧。
|
14
Mac 2020-11-29 17:31:15 +08:00
fail2ban 直接封 10000 年。。
|
15
zpfhbyx 2020-11-29 17:59:58 +08:00
|
16
ZRS 2020-11-29 18:24:49 +08:00
关密码 换端口
|
17
Caan07 2020-11-29 18:41:03 +08:00
我现在明白了,要不就 openssl 出问题,要不就我自己发傻把 public key 文件发给别人,4096 加密的,端口就 22,禁止账户仅仅 public key 了,要解密就解密去吧。
|
18
ntgeralt 2020-11-29 19:12:28 +08:00
群晖公网一开 ssh 和主动防护,每 3 秒就一个尝试登陆失败提示
所以,10000 端口以下的太好扫描,都改到 5w 端口以上。 |
19
FS1P7dJz 2020-11-29 19:22:13 +08:00 1
某楼说当成宇宙背景辐射,哈哈哈这个太贴切了吧
|
20
impl 2020-11-29 19:36:10 +08:00 via Android
换端口就行了
|
21
s609926202 2020-11-29 19:39:48 +08:00 via iPhone 1
亲测改端口禁止 root 登陆有效
|
22
hoyixi 2020-11-29 19:41:31 +08:00
fail2ban 设置 sshd 失败 3 次(或者更少,但是小心自己登错被 ban )直接 ban 该 IP 至少一个小时。对方有足够多 IP,就让对方尽情试好了
|
23
msg7086 2020-11-29 20:24:27 +08:00 via Android
说改端口有效的,我一个 ssh 改到 10000 以上端口的机器天天被人连上试密码。
|
24
monkey110 2020-11-29 20:33:23 +08:00
|
25
opengps 2020-11-29 20:35:16 +08:00
@msg7086 你是不是装上了 11211 之类其他服务的端口号。
改端口确实有效,很多扫描器只搜索默认端口,能跟着端口找的你,如果不是碰巧,那么更像是定向针对你 |
26
tojonozomi 2020-11-29 20:45:28 +08:00
看了帖子之后,去自己闲置的机器上看了下,被试了 10w+次还行
已经禁止掉密码登录了 |
28
forgetandnew 2020-11-29 23:18:02 +08:00 via iPhone
fail2ban 错三次封一年
|
29
indev 2020-11-29 23:32:47 +08:00
虽然没啥太大的影响,但看着日志很烦。
所以我就在防火墙里设置 ip 白名单,只允许信赖的 ip 或 ip 段可以连接 ssh 的端口。 |
30
laminux29 2020-11-30 00:20:32 +08:00 1
1.不需要改端口,骗自己。密码设置为复杂的强密码就行了。
2.更新、漏洞补丁一定要及时升级。 3.单入口有被 0day 的风险,可以通过多层异构入口来降低被连续 0day 的风险,但也只是降低,没办法 100%阻止,万一哪天这一整套同时被 0day 。 |
31
1if5ty3 2020-11-30 00:58:34 +08:00
我群晖已经很久没有尝试登陆失败的日志了。。
|
32
hawhaw 2020-11-30 07:34:04 +08:00 via Android
改端口比不改强,但最好是封 ping,因为很多扫描是首先 ping 一圈。
还有种高级的用法是你连之前需要先 ping 一个特殊包,服务器才打开相应端口,你才能连 |
33
elfive 2020-11-30 07:45:43 +08:00 via iPhone
我的裙晖天天被日,我的做法是,配置错一次,永久封禁,相关账号一律 PublicKey 登陆……而且根据来访者 ip 地址,我已经锁定了两个区域,一个在北京,一个在山东,均为联通宽带用户。
因为我就是朋友间的私人服务器,他们用的都是电信,所以我完全可以直接屏蔽掉所有联通的 ip 。甚至只允许省内电信访问。 其实,我也知道 VxN 访问最直接,主要是我看着那些人一个一个 ip 被 ban 觉得很搞笑。 |
34
xuanbg 2020-11-30 07:53:04 +08:00
无视就行了,你无论怎么做都会有这么多的登录失败的。
|
35
Mithril 2020-11-30 08:44:02 +08:00
难道只有我一个人是直接用防火墙规则封了所有端口,只用网页 terminal 登录的么。。。
除非特别麻烦的活,到时候临时开条规则就行了。 主要是那么多 log 看着太烦了。 |
36
LokiSharp 2020-11-30 08:56:46 +08:00
我这边用 RHEL 所以不是很怕 0day
|
37
isnullstring 2020-11-30 09:02:49 +08:00
私钥登录,省事
|
38
totoroyyw 2020-11-30 09:25:24 +08:00
闲着无聊可以试试给 ssh 加 2FA,类似 libpam-google-authenticator
|
39
raptor 2020-11-30 09:27:00 +08:00
基本上改端口能去掉 90%以上的扫描,禁止 ROOT 登录又能去掉一大部分,再关闭密码登录以后,fail2ban 每天就只有一两个 IP 被 BAN 的了。
攻击者也要考虑的成本的嘛,除非你的网站真的值得他们花这个成本去弄,那你估计也不差钱,可以上更好的商业解决方案了。 |
40
scegg 2020-11-30 09:45:05 +08:00
没所谓的。只要你的密码不是在密码表上的,而且你也不是重点目标,那就是一个“常规闲人扫描”,对你服务器的影响也几乎可以忽略。
|
41
bigtotoro 2020-11-30 09:50:32 +08:00
很常见, 没事儿
|
42
xz410236056 2020-11-30 10:08:40 +08:00
我家 nas 每天都有个几十条。太正常了。
|
43
40EaE5uJO3Xt1VVa 2020-11-30 10:42:02 +08:00
改 10000 以上端口能屏蔽一半的脚本扫描
12+位大小写数字符号的强密码能屏蔽剩下的 99% 密钥登录、指定 IP 登陆或者 vpn 登陆能屏蔽最后的 1% 一般强密码就足够了。除非是专门针对你的,恶意集中爆破你的 ssh 端口,都影响到你登录了。 |
44
Ayahuasec 2020-11-30 10:50:54 +08:00
闲置的 VPS 如果确实没有服务跑在上面,又是优惠的 plan 不舍得销毁的话,为什么直接不关机呢?等到哪天要用的时候再开开不就行了。。。
|
45
leavic 2020-11-30 11:13:18 +08:00
我觉得脑子正常的人写的扫描脚本,碰上密钥登录的都应该自动放弃吧。
|
46
godblessumilk 2020-11-30 13:18:06 +08:00 via Android
@monkey110 老哥的滑稽咋输入的?
|
47
dndx 2020-11-30 13:19:51 +08:00
扫描太正常了,只要禁用密码登录,更新 OpenSSH 版本,没有什么好怕的。
如果实在是强迫症,可以上 port knocking 。但是相信我,如果 OpenSSH 爆出什么 0day,有无数个网站要比你先倒霉。 |
48
godblessumilk 2020-11-30 13:21:08 +08:00 via Android
@Ayahuasec 可能在挖矿
|
49
shenyuzhi 2020-11-30 13:37:30 +08:00 1
禁止密码登陆,只允许密钥登录,就妥了。
我以前的一台 vps,登录日志把硬盘都塞满了。 |
50
est 2020-11-30 13:43:14 +08:00
要不换个思路,任意密码都能登陆。只不过登陆进去就只显示一个欢迎信息什么也做不了。
|
51
crasa 2020-11-30 13:44:13 +08:00
恭喜
|
52
loginv2 2020-11-30 14:27:25 +08:00
云平台有安全组控制的 API,可以申请一个控制策略,每次登录前把自己 IP 加进去,然后启动 ssh 。不需要了 就关闭,这样对外不开放端口,只有用的时候才开
|
53
festoney8 2020-11-30 14:39:17 +08:00 1
|
54
monkey110 2020-11-30 20:13:02 +08:00
|
55
way2create OP |