密钥登陆应该相当安全了吧,还需要装 fail2ban 之类吗?

2015-07-09 21:12:18 +08:00
 Daddy

或者还有什么建议的?

3475 次点击
所在节点    Linux
12 条回复
402645707
2015-07-09 21:14:23 +08:00
22端口开shadowsocks
ssh改到25端口
geeklian
2015-07-09 21:20:02 +08:00
密钥很安全了,但不用fail2ban,你的日志会爆炸=.=
alect
2015-07-09 21:21:22 +08:00
ssh禁用root登录并且改端口才是最安全的
Daddy
2015-07-09 21:22:45 +08:00
@geeklian 那不怕fail2ban占资源吗? 尤其128内存的小VPS的话
undeflife
2015-07-09 22:42:34 +08:00
@Daddy fail2ban是按设置定时扫描解析日志的
sinxccc
2015-07-09 22:53:05 +08:00
@402645707
@alect

我总感觉改端口没什么用的感觉,扫一下照样能扫出来…
402645707
2015-07-09 23:00:31 +08:00
@sinxccc 一般都是批量22端口
除非你的ip广为人知
扫描太费时间
而且ss也不具有明显的协议性,有点黑洞路由的特征
很难被认出来
ryd994
2015-07-09 23:02:01 +08:00
@sinxccc 有心要黑你,怎么样都会有办法
然而遇到的还是小学生多,换了端口之后还没几个人来扫。而且说到底安全性又不取决于端口,只是log看着碍眼而已
tini25
2015-07-09 23:09:37 +08:00
其实就算让它穷举,被破解的几率也很小吧
msg7086
2015-07-09 23:22:20 +08:00
@alect
@sinxccc
改端口只是辅助,不能作为主要安全手段。

@Daddy
相比sshd不停fork再exit一天几万次,fail2ban的资源占用并不算过分吧。
johnnyR
2015-07-09 23:29:14 +08:00
@sinxccc 改到1W以上扫到的几率会下降很多的
Havee
2015-07-10 10:28:52 +08:00
首先明了一点,并非 ssh 安全做足了,你的服务器就安全无忧了。如果被定点攻击,被拿到 root 的,反而不是通过 ssh,当然 ssh 弱口令除外。

单就 ssh 而言,禁 root,禁密码,改端口以后,除非你的私钥被人家拿到,否则不用担心。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/204579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX