一些增强 SSH 安全性的技巧

2015-08-08 00:05:41 +08:00
 Livid
https://www.linux.com/learn/tutorials/305769-advanced-ssh-security-tips-and-tricks
8720 次点击
所在节点    DevOps
29 条回复
msg7086
2015-08-08 03:15:25 +08:00
其实主要就是证书登录+banIP
hbkdsm
2015-08-08 06:25:50 +08:00
anubiskong
2015-08-08 07:26:21 +08:00
我是这样做的:
改ssh端口, 禁ping, 只保留必要端口其他的封, 不允许用户名密码登陆只能用秘钥登陆
求高手给意见
imnpc
2015-08-08 07:37:10 +08:00
我主要使用证书登录和 google的双因素验证
dommyet
2015-08-08 07:38:46 +08:00
端口没改 root只允许证书登录 但是因为那个机器的非root用户有用密码登录的需求 来碰密码的以为root也是用密码的 每天都有来自一两个IP的几万次碰撞 后来就用fail2ban直接封禁24小时
clino
2015-08-08 07:54:29 +08:00
@dommyet 改ssh端口应该会没什么会来攻击了
以前用denyhosts太方便了,完全不用配置,现在没这个用真不爽
exuxu
2015-08-08 08:10:21 +08:00
如果是固定IP的话可以限制IP登陆
invite
2015-08-08 09:06:11 +08:00
该端口,只是减少攻击可能性,针对全端口扫描,是没意义的。
skyworker
2015-08-08 09:26:13 +08:00
@invite 改端口能屏蔽大部分小白的攻击。真的要对你的IP进行全端口扫描的话,那就是你已经被盯上了
xiaket
2015-08-08 09:42:09 +08:00
一个另外会被忽视的问题是, agent forward一定不要默认打开.
wbsdty331
2015-08-08 09:53:47 +08:00
关闭root登录,只用证书 限制IP
402645707
2015-08-08 09:56:10 +08:00
@skyworker 表示我的一堆ss日志里天天出现同一个加拿大ip在试密码
shadowsocks监听22端口难道扫描器识别不出来吗
ooxxcc
2015-08-08 10:17:52 +08:00
证书登录,两步验证,fail2ban都上了。。
fuxkcsdn
2015-08-08 10:32:04 +08:00
@imnpc
@ooxxcc
求细节
我以前配置过证书加二步认证,但总是会要求输入密码,而密码怎么输也不对,必须把允许密码登陆开启才行
就变成又允许证书登陆又允许密码登陆加二步认证
alexyangjie
2015-08-08 10:33:26 +08:00
证书验证+二步验证+换端口+Fail2ban+限定账户登录
wclebb
2015-08-08 10:36:01 +08:00
还以为是管理员
Mark24
2015-08-08 11:15:12 +08:00
napsterwu
2015-08-08 12:11:48 +08:00
关密码+私钥登陆是必须的

不过我换端口还是不方便,我把fail2ban封禁阈值设到最小,封禁时间设到最大,反正也没有必要解封,效果还可以。

rainy3636
2015-08-08 13:14:12 +08:00
PermitRootLogin without-password
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
AVC
2015-08-08 15:33:42 +08:00
fail2ban最大尝试2次,失败ban 1000000000秒all ports。反正都是用xshell或者juicessh密码都是保存不会出错。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/211641

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX