看了下登陆日志真感人

换端口，不准root登

1，禁止root用密码登录
2，多次输入密码失败自动屏蔽ip

很正常，我vps刚创建没几天就一长串了

我刚刚也上去看了，真的好感人，都是中国IP………………

感动到几乎全是阿里云的IP……

两步验证保平安。。。

现在这个VPS才用了两个月，都80M登陆日志了……
上一个VPS用了一年，登陆日志堆成山了

1. fail2ban超过3次直接锁定
2. PermitRootLogin no
3. 同吐槽，最近被ban的都是阿里云的，有什么典故在里面吗

架个 VPN，或者用青云的路由器，然后对外网不开放22端口。

禁止ssh登录root，其他帐号用一个我觉得比较偏门的名字，只能用公钥登录。
另外root还可以配置二步认证，用google-authenticator。

@bjzhush
#指定78字节的icmp数据包(包含IP头部20字节，ICMP头部8字节)通过被加入sshopen列表。
iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT
#检查sshopen列表是否存在你的来源IP，如果存在，即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭，不再允许新连接，已连接的不会断开。
iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

临时开启ssh端口密令
linux下:ping -s 50 host
windows下:ping -l 50 host

和2楼一样的作法

@ericliuhe 基本没人会去对单独一台VPS做端口扫描，基本上都是脚本批量扫，只针对22端口，只针对弱口令和网上已有密码库。所以，针对这种暴力破解，改高位数端口+随机生成的密码基本上就算安全了

@yylzcom 除非有人想搞你

@yylzcom 批量弱密码扫的，高强度密码就够防了。真有人想搞你，改了端口也没用。所以改不改端口其实没区别

把 root 的 登录 设置位 without-password

https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication

Google Authenticator

@sNullp root没有密码,只能通过sudo操作?

@laomutuo 是的

@laomutuo 或者 sudo su