有人猜解 Linux 的 ssh 服务,你们是怎么处理的?

2017-10-24 14:28:22 +08:00
 WordTian
最近有个人一直在猜解我的 ssh,五分钟猜一次,持续了快半个月了。
虽然我知道他猜不出来,但是一直在日志里晃悠,强迫症受不了啊
之前试过 /etc/hosts.deny,但是还是会进入 pam 验证过程后再拒绝
有什么办法能针对 IP,直接拒绝访问的方法吗? iptables ?
8513 次点击
所在节点    Linux
69 条回复
opengps
2017-10-24 14:32:00 +08:00
换端口啊
zlfzy
2017-10-24 14:33:14 +08:00
就是你那个加入 /etc/hosts.deny 就可以了,而且 tcp_wrappers 的优先级貌似高于 iptables,没必要再加入 iptables
sagaxu
2017-10-24 14:35:06 +08:00
标准答案不是 fail2ban 吗?
wxm4ever
2017-10-24 14:35:32 +08:00
阿里云 ECS 不天天被人扫么
isCyan
2017-10-24 14:37:06 +08:00
装个 fail2ban 不用配置,默认就会帮你自动封
clino
2017-10-24 14:37:10 +08:00
fail2ban+1
装上了不用配置直接就能防
当然要更严格,比如更少的失败次数更长的封禁时间,可以自己改配置
j4fun
2017-10-24 14:37:59 +08:00
换个数字大一点的端口肿么样?或者改成秘钥登陆。。
或者 iptables -t filter -d ip -j REJECT ?
aalska
2017-10-24 14:41:54 +08:00
随便他扫。。。。。看着他从 0 次失败变成 50w 次失败 心情舒爽
kmahyyg
2017-10-24 14:45:18 +08:00
301 到 10GB.test
type
2017-10-24 14:46:47 +08:00
使用 SSH KEY 来登陆,并且关闭密码登陆。
就没人尝试你的 SSH 密码了。
sagaxu
2017-10-24 14:48:25 +08:00
@zlfzy Changes since OpenSSH 6.6
=========================

Potentially-incompatible changes
* sshd(8): Support for tcpwrappers/libwrap has been removed.
WordTian
2017-10-24 14:49:45 +08:00
@opengps 懒,不想换,换了我的手机电脑上的 ssh 配置都得改
@zlfzy 我一直以为 iptables 的优先级更高 /doge
@j4fun 端口已经是 5 位数字的了,密钥感觉不太方便
@sagaxu @clino 回头试试
@aalska 怎么说呢,其实不知道他在扫还好,发现了强迫症就忍不了
est
2017-10-24 14:55:25 +08:00
把登陆成功的提示语改成:Permission denied, please try again.
sagaxu
2017-10-24 14:55:46 +08:00
@WordTian iptables 的优先级更高,你理解无误
likuku
2017-10-24 14:57:38 +08:00
@WordTian 不方便?比密钥更方便唯有空密码了。
ferstar
2017-10-24 14:57:54 +08:00
楼上 fail2ban 可破, 或者 iptables 也是美滋滋的
https://ferstar.org/post/root/ssrbei-e-yi-sao-miao-shi-xu-yao-zuo-de-shi-qing
fe619742721
2017-10-24 14:58:18 +08:00
@est 我看行。。。
zjyl1994
2017-10-24 15:00:27 +08:00
我端口都没换,把密码登录关掉,只允许 SSH 密钥登录,这样就行了
zlfzy
2017-10-24 15:00:37 +08:00
@sagaxu 实测 openssh-6.6 版本 tcpwrappers 依然有效
加入 /etc/hosts.deny 之后再连 ssh:
“ ssh_exchange_identification: read: Connection reset by peer ”
aalska
2017-10-24 15:00:50 +08:00
@WordTian 我也强迫症 我就是强迫一定要看到对面登陆失败

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/400240

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX