这是一个创建于 1202 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如,一个未知身份连接进来尝试错误几次用户名 /密码之后,就自动屏蔽几分钟。
这样可以极大的延缓密码被试出来。
这样可以极大的延缓密码被试出来。
 |
1
wzxlovesy 2021-07-25 05:05:22 +08:00 via Android  2
fail2ban
|
 |
2
dangyuluo 2021-07-25 05:11:22 +08:00 2
sshguard 更优
|
|
3
wzxlovesy 2021-07-25 05:19:07 +08:00 via Android 1
用 ssh key 也行
|
 |
4
LeeReamond 2021-07-25 06:13:28 +08:00
默认无拒绝,所以有一些速度很快的工具,内网的话可以默认为 10 位内弱密码容易破
|
 |
5
huoshen 2021-07-25 08:50:43 +08:00 via iPhone 1
设置公钥登录并禁止密码登录,基本上一劳永逸了
|
 |
6
Yadomin 2021-07-25 08:58:19 +08:00 via Android
不设置用户密码就行了🐶
|
 |
7
LiangBryan 2021-07-25 09:01:40 +08:00
denyhosts
|
 |
8
yeqizhang 2021-07-25 09:05:45 +08:00 via Android
我刚刚在我的腾讯轻量服务器做了这个功能,首先 hosts.deny 拒绝所有 ssh 和 sftp,然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢?直接定时十分钟跑脚本分析 auth.log 日志,超过一定次数直接 iptables input drop
|
 |
9
Ariver 2021-07-25 09:18:08 +08:00 via iPhone 2
iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
可以搜一下 |
 |
10
hallDrawnel 2021-07-25 11:16:06 +08:00
直接关闭密码登录
|
 |
13
Osk 2021-07-25 14:19:40 +08:00
可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.
另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码). |
 |
15
ZhiyuanLin 2021-07-25 14:42:12 +08:00
不开放密码登录不就行了。
要更强点就配置 WireGuard,SSH 只开放内网登陆,登录时候必须 WireGuard+SSH 私钥。 |
|
16
yeqizhang 2021-07-25 16:24:00 +08:00 via Android
@iBugOne 主要一开始我搜到的解决办法是 hosts.deny,脚本往这文件里禁了一堆 ip 觉得不爽,就想到直接把国外的都禁了,但是 ip 库太大也不全,找到一个国内省份的 ip 库,就想只放开几个省的就行了,结果这几个省还是有人搞事情,就想着 iptables 来弄了。权当花了点时间了解了些东西
|
 |
17
ctro15547 2021-07-25 16:26:20 +08:00
fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。
|
 |
18
jim9606 2021-07-25 18:12:28 +08:00
我选择关掉密码登录,只用 pubkey 。
如果真有头铁爆破的,估计我的服务器已经被 D 到要关机了。 @Osk Desktop 默认没安装 ssh-server 吧?至于 Server,初始化总得用吧?或者用 cloud-init 做初始化? |
 |
20
wms 2021-07-26 11:37:01 +08:00
换个端口
|
 |
21
ryd994 2021-07-26 12:36:32 +08:00 via Android
换端口+证书登录
换端口主要是排除一些低端脚本,省得心烦 |
 |
22
myqoo 2021-07-26 14:12:58 +08:00
可以试试 Web 版的 port knocking: https://www.etherdream.com/port-knocking/
|
 |
23
chenjies 2021-07-26 16:38:28 +08:00
借楼请问 IP 白名单是不是最小白的? 22 端口只允许指定的 IP 与一台阿里云 ECS 的 IP 登录。
|
 |
24
MarkLeeyun 2021-07-26 18:42:05 +08:00
只允许公钥登录就好。
|
 |
25
liuxu 2021-07-26 20:19:45 +08:00
果断强制 rsa 啊
|
|
26
yeqizhang 2021-07-26 20:37:19 +08:00 via Android
@Felix2Yu 不是,我用 hosts.deny 全部的,然后 allow 是三个省份的网段(只有这三个省份可以 ssh sftp ),iptables 是把这三个省份爆破的 ip 直接加进去,平均一天也没两个
|
 |
27
Hardrain 2021-07-27 02:26:12 +08:00
PubkeyAuthentication yes
PasswordAuthentication no 让他们爆破去吧,除非你生成了一个 512 位的 RSA |
 |
28
huangmingyou 2021-07-27 10:04:57 +08:00
都 2022 了,为啥还要用密码登陆 ssh
|
Select Language