公有云上没有公网 ip 的机器,有必要关闭 22 端口,改用其他端口么?

2018-12-16 14:56:28 +08:00
 meowoo
最近跟朋友讨论这个问题,机器只对一台部署机开了设置安全组规则可用 22 连接,拷贝文件远程重启,其他服务通过 nginx 代理。

这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?

请各位老哥指教一下。
4019 次点击
所在节点    信息安全
11 条回复
avrillavigne
2018-12-16 15:35:28 +08:00
没明白,“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口?

没有公网的机器不会被扫描到,要么堡垒机攻陷入侵内网,或设置了内网转发。有人的地方小心内部攻击,你自己的玩具就随便~

我用到的安全设置
1、改端口
避开大部分脚本扫描
2、使用 SSH 公钥登录
云厂商都可以一键创建 SSH 公钥和绑定实例,安全性大大提高。
3、使用 fail2ban
设置一分钟内失败 5 次封禁 IP 24 小时。
Hardrain
2018-12-16 15:51:27 +08:00
SSH 建议用公钥,并完全停用键盘交互(密码)登录。

其他的,比如改端口、port knocking 都不建议。
因为这些只是将你的 SSH 服务放进一个迷宫,而不是加上一把足够坚固的锁。
CallMeReznov
2018-12-16 15:54:32 +08:00
别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.
meowoo
2018-12-16 15:57:18 +08:00
@avrillavigne 是的,就指定了某一台主机可以用 22 端口连接,其他都不行,而这台主机也是内网中的,没有外部访问途径。
meowoo
2018-12-16 16:00:47 +08:00
@Hardrain 是的,我也是这样考虑的,接手过来的时候都是用密码存储的,纯内网的,之前估计没考虑那么多,现在是涉及到公网了,所以就麻烦了。
meowoo
2018-12-16 16:04:33 +08:00
@CallMeReznov 我自己的公网机器是瞬间爆炸,我回头看看那几台内网的,我的天。
mattx
2018-12-16 16:43:44 +08:00
1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
2 使用 SSH 秘钥登录
3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口

以上的要配置起来, 也就 10 分钟的事情, 挺快的.
meowoo
2018-12-16 16:58:35 +08:00
@mattx 我指的是内网的主机,这个 gfw 应该影响不到的把? 有几千台主机,感觉该写个脚本批量设置密钥了
mattx
2018-12-16 17:05:09 +08:00
@meowoo #8 内网的话感觉没必要, 设置秘钥确实可以做个脚本来处理下.
flynaj
2018-12-16 20:02:43 +08:00
改端口防那些机器人无脑扫描
meowoo
2018-12-16 20:10:22 +08:00
@flynaj 主要是内网机器,应该不会被扫描啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/518007

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX