防止 vps 上 ssh 端口被恶意扫描

2020-02-23 14:25:21 +08:00
 wslzy007

随着 vps 云主机越来越便宜,vps 已日渐普及。平常的运维管理往往需要开启 ssh 服务,由于是公网 IP,自己的云主机经常会被来源于世界各地的 IP 扫描猜测;当然,可以选择云厂商提供的收费防护服务,价格嘛...但估计也挺感人。有没有好的办法呢?

如果能够拒绝所有外部 IP 对 22 端口的访问不就行了吗?

额。。。剩下的问题就是如何允许自己访问了。

祭出工具:SG ( smarGate ),如何使用 smarGate 请见 github.com/lazy-luo/smarGate

步骤如下:

1、在 vps 主机上运行 smarGate 服务端( proxy_server )

2、在云控制台配置安全组,将 22 端口禁止外部访问

3、在 smarGate 客户端上开启 vps 主机 ssh 反弹穿透(本地端口要求大于 1024 ):

4、通过 SSH 客户端连接手机 ip:2222 即可访问 vps 服务器

这样配置的好处是只有通过你配置的 smarGate 客户端才能访问到 vps 的 ssh 服务,而手机你是不离身的。可控、安全。

10705 次点击
所在节点    宽带症候群
49 条回复
txydhr
2020-02-23 17:56:30 +08:00
除非你是开机场一类的的怕被竞争对手定向搞,一般改个高位端口就足够了。
Felldeadbird
2020-02-23 18:00:34 +08:00
换 ipv6 和改常用端口不就可以解决被扫问题了吗?

海量的地址,用现在的模式扫,时间成本太大。
barrelsoil
2020-02-23 18:26:12 +08:00
你说密码复杂点,加上 f2b 3 次失败禁止,怎么可能爆破
AmrtaShiva
2020-02-23 18:26:54 +08:00
两个月不到 VPS 被人恶意尝试登陆过近千次 IP 看了一下 集中起来 二十来个 国内两个大厂占了几乎全部来源 呵呵 还有个江苏镇江的 剩下一个美国的 到底谁在作恶 谁在怂恿恶人作恶
wslzy007
2020-02-23 18:39:07 +08:00
@AmrtaShiva 估计是大部分人的困惑吧。尽管密码负杂也扛不住太多的 tcp 连接呀,我遇到的大多是国外的 ip,国内的集中在广东
huntcool001
2020-02-23 19:12:33 +08:00
@wslzy007 不是很明白... 我用证书登录,和密码复杂有啥关系
wslzy007
2020-02-23 19:17:38 +08:00
@huntcool001 证书和复杂密码是类似的,只是确保登录安全,却无法阻止有心之人的大量 tcp 连接,连接多了消耗服务器资源。。。so,我是希望别人无法连接
Osk
2020-02-23 19:25:31 +08:00
换端口
禁止密码登录, 使用证书

端口敲门
fail2ban

我只做了上面两点, 其它我觉得没必要就没做了, 反正 vps 没啥东西
lightwell
2020-02-23 19:32:00 +08:00
自己用用的 vps 换个端口就行了
MeteorCat
2020-02-23 19:37:01 +08:00
换端口+证书验证+禁用 root 可以免疫 90%攻击
zjqzxc
2020-02-23 19:46:20 +08:00
有一种叫做“堡垒机”的东西,业务用服务器的 ssh 端口只允许堡垒机 IP 连接

至于堡垒机怎么保证安全...
可以在换端口+证书登录+禁止 root 的前提下,只允许通过 VPN 连入的用户登录,也就是说,堡垒机只对外开放一个 VPN 端口即可。

只要不出内鬼,自己不手残把 VPN 和堡垒机的证书同时泄露,在没有遇到重大漏洞的时候一般是安全的。
chinesestudio
2020-02-23 20:01:22 +08:00
改端口 fail2ban 就行了 。要是服务器上程序有问题 root 密码再长也一样是肉鸡。
Kobayashi
2020-02-23 20:06:38 +08:00
艹不百
ufw limit
fail2ban
port knocking
aru
2020-02-23 21:31:25 +08:00
换成仅允许 key 登录后,我对 openssh 的安全性更信赖
QUIOA
2020-02-23 22:10:16 +08:00
@pperlee 这样爆破主 vps 就必须得先爆副的吗
laydown
2020-02-23 22:36:31 +08:00
用两步验证,ssh 我就用最简单的密码,就用 22 端口,他扫任他扫,破掉算我输!

用 key 的话,换台电脑就很麻烦。或许有人又说了,谁让你用别人(或公共)电脑啦,可我就有这样的需求啊。

ssh 两步验证,搞起来,如果不是有人特别针对你,基本安全无虞。
LokiSharp
2020-02-23 23:53:07 +08:00
被扫无所谓的,用证书登陆就行了
jousca
2020-02-24 00:41:58 +08:00
我是设置 10 次错误就把对方 IP 拉黑
muskill
2020-02-24 08:07:34 +08:00
@pperlee 跳板机吗
issunday
2020-02-24 10:03:51 +08:00
@pperlee 关闭 ssh 后自己如何访问呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/646807

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX