防止 vps 上 ssh 端口被恶意扫描

2020-02-23 14:25:21 +08:00
 wslzy007

随着 vps 云主机越来越便宜,vps 已日渐普及。平常的运维管理往往需要开启 ssh 服务,由于是公网 IP,自己的云主机经常会被来源于世界各地的 IP 扫描猜测;当然,可以选择云厂商提供的收费防护服务,价格嘛...但估计也挺感人。有没有好的办法呢?

如果能够拒绝所有外部 IP 对 22 端口的访问不就行了吗?

额。。。剩下的问题就是如何允许自己访问了。

祭出工具:SG ( smarGate ),如何使用 smarGate 请见 github.com/lazy-luo/smarGate

步骤如下:

1、在 vps 主机上运行 smarGate 服务端( proxy_server )

2、在云控制台配置安全组,将 22 端口禁止外部访问

3、在 smarGate 客户端上开启 vps 主机 ssh 反弹穿透(本地端口要求大于 1024 ):

4、通过 SSH 客户端连接手机 ip:2222 即可访问 vps 服务器

这样配置的好处是只有通过你配置的 smarGate 客户端才能访问到 vps 的 ssh 服务,而手机你是不离身的。可控、安全。

10800 次点击
所在节点    宽带症候群
49 条回复
gam2046
2020-02-23 14:50:47 +08:00
扫就让他们扫嘛,反正是证书登陆。

批量扫的,也就是尝试一批弱口令。

这要是能被爆破出来,我也就认了
hzqim
2020-02-23 15:00:26 +08:00
我是禁止 root 登陆。
gearfox
2020-02-23 15:05:52 +08:00
换默认端口,禁止 root 登陆+fail2ban,暂时还没出过问题
qwvy2g
2020-02-23 15:13:04 +08:00
我是配置完禁止 ssh 登录和禁止 ping,平常操作用控制面板 vnc 访问就行了。
manami
2020-02-23 15:15:43 +08:00
SSH 换默认端口,关闭 22 端口
wslzy007
2020-02-23 15:24:08 +08:00
密码倒不是弱密码,但看统计数据每晚峰值最多有大几万的 tcp 连接。。。
现在一切都安静了
PHPer233
2020-02-23 15:29:48 +08:00
不要用默认端口,把 ssh 服务换成其他端口不就好了。。。。
windyland
2020-02-23 15:32:02 +08:00
换带宽简单快捷
wslzy007
2020-02-23 15:32:22 +08:00
换端口是个办法,但毕竟还是会被扫描到的,本意是不希望外部连接 vps 上特定端口,仅能自己使用
turi
2020-02-23 15:37:56 +08:00
怕扫描那就禁 ping,然后换端口
这样要是还有几万 tcp 连接那就要换一家服务商了
wslzy007
2020-02-23 15:44:01 +08:00
禁止 ping 没用的,都是 tcp 连接。。。
satifanie
2020-02-23 15:44:18 +08:00
证书登录+fail2ban 就能阻挡大部分了。再不然换端口也行
wslzy007
2020-02-23 15:46:04 +08:00
证书登录也挡不住巨量 tcp 连接,换端口过不了多久又照旧了。。。
BFDZ
2020-02-23 16:04:54 +08:00
22 端口有几万次登录失败,换端口以后一次都没有
fengtons
2020-02-23 16:16:38 +08:00
换端口+禁止 root 登录,能将端口+用户名+密码同时扫出来的概率有多大?
starrycat
2020-02-23 16:18:28 +08:00
sg 本身安全吗
wslzy007
2020-02-23 16:22:42 +08:00
vps 高联通网络,是 p2p 的没啥安全问题
pperlee
2020-02-23 16:23:26 +08:00
最完美解决办法:关闭 vps 的 ssh
如果不想关闭又怕扫描,购 2 台同一个局域网的 vps,主 vps 仅限内网 ip 访问 :D
vocaloid
2020-02-23 16:49:56 +08:00
直接换端口。。一个月能降到只有一两个人扫描
eason1874
2020-02-23 16:59:05 +08:00
直接换高位端口+证书登录,相当稳,不是被恶意针对不会有问题。

既然是云主机,实在不想被骚扰你完全可以把云的功能用起来,在安全组规则那里限定只有你的 IP 才能访问 SSH 端口。然后通过云 API 在本地或者网站配置一个更新安全组规则 IP 的功能,定期主动把本地最新 IP 更换上去,或者手动同步。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/646807

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX