如何看待黑客 root 登录污染 sshd 日志的情况?

132 天前
 tool2dx

每开一台新 VPS ,只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求。

我以前都不去管的,后来发现/var/log/btmp 这个记录登录失败的文件,总是膨胀特别快。

无奈加了 fail2ban ,但其实指标不治本,这个软件只能阻止历史 IP ,每天还是有一大堆新 IP 来污染日志。

同在互联网,大家就不能友善一点吗?盲猜 SSH 密码,纯属瞎猫抓死耗子,吃力不讨好。

4533 次点击
所在节点    程序员
46 条回复
w568w
132 天前
@besto 你说得对。其实还有几个思路:

1. Port knocking
2. 自动定期换端口
3. Virtual LAN 层( Tailscale ,Zerotier ),然后关闭外网访问
4. 用小众远程控制协议,例如 mosh
w568w
132 天前
@besto 补:倒也不至于说无解。
dhb233
132 天前
扫描端口性价比不低啊,IPv4 的公网地址又不多,开放 ssh 的更少了
itakeman
132 天前
@Metre 第二个怎么操作?
dapang1221
132 天前
换端口,改证书登录
再不嫌麻烦的话,搭 vpn ,先连进内网,再 ssh 登录
coldle
132 天前
白名单很有必要,# 17 的省份白名单就是侵入性小且效果显著的方案
yanqiyu
132 天前
改成 pubkey 登录之后就让他扫呗,只要 key 不泄露怕啥
VYSE
132 天前
用 V2RAY 做代理
fatekey
132 天前
不想被扫就换端口呗,广撒网的一般只扫默认端口。
txzh007
132 天前
搞个 5 位端口 求他扫
Avafly
132 天前
端口号设大点. 我之前 fail2ban 一万多条尝试登陆失败的记录, 后来端口号从原来的 8xxx 换成了 5xxxx, 那之后一个扫端口的记录都没了.
zed1018
132 天前
用 level3 的 ipsum 列表做 block ,会好非常多。当然你要是性能好用 level1 的也可以。

https://github.com/stamparm/ipsum/blob/master/levels/3.txt
tool2dx
132 天前
@zed1018 竟然还有 IP ban 数据库,好高级。

我一直想问,如果 iptables 导入几万黑名单,会有性能问题吗?
zed1018
132 天前
@tool2dx #31 我没实际测试过,但是网上的说法是千百条不是很要紧上万就看性能了,所以我选 level3 原因就是因为这个级别大概保持在 15000 左右。
daisyfloor
132 天前
用 key 私钥文件验证登录是不是就没什么问题了?
cnt2ex
132 天前
@daisyfloor 但依然会有连接失败的记录
Remember
132 天前
你还 too young ,事实上 ssh 扫描这事儿,从 ssh 协议发明以来就广泛存在了,属于互联网背景噪音,类似宇宙背景辐射这种,已经是网络基础架构的一部分了。
TianDogK48
132 天前
@tool2dx iptables 不用导入几万条,用 ipset 存 ip ,iptables 加一条 ipset 的规则就行。
aru
132 天前
@tool2dx
用 ipset ,10 万个 IP 也不占 cpu ,只占一些内存
daisyfloor
132 天前
@cnt2ex 那无所谓了,让他扫呗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055533

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX