vps:一种安全访问 ssh 的方法

2020-11-23 11:52:29 +08:00
 wslzy007

去掉前奏直接来:
1 、在 vps 对应管理端在安全组中拒绝 22 端口访问
2 、使用端口反弹工具进行反向连接访问

如此可以做到:无法直接访问 vps,使用自己的代理可以访问

10699 次点击
所在节点    信息安全
81 条回复
boris93
2020-11-23 12:27:48 +08:00
but why?
复杂密码,或者证书,已经可以实现足够的安全性
还不够的话可以改掉端口,这就足以挡掉那些自动扫描脚本了
wslzy007
2020-11-23 12:34:35 +08:00
强密码证书类的挡不住软件漏洞

其实这是个通用思路,关键是将私有服务器的公共访问私有化,等同于内网访问,提升安全级别
deorth
2020-11-23 12:57:54 +08:00
其实就是多加了一层认证手段
我用类似的方法来访问 web/rdp/vnc 等弱密码保护的服务,但是 ssh 就没有用,原因同#1,ssh 安全性经过合适的配置后,已经够强了
oxromantic
2020-11-23 13:00:15 +08:00
实用性很低,不如只开放 22 端口给自己的 ip,别和我说这个也有漏洞,这个漏洞比你用反向隧道漏洞几率小多了
Jirajine
2020-11-23 13:03:26 +08:00
@deorth 你说的那些也没必要,只要 ssh 安全,其他的可以用 ssh 端口转发出来。
sagaxu
2020-11-23 13:03:52 +08:00
端口敲门了解一下
boris93
2020-11-23 13:07:27 +08:00
怕软件漏洞那就封锁所有入站连接吧
别的东西也有漏洞
wslzy007
2020-11-23 13:12:17 +08:00
仁者见仁吧,安全的事,你要没摊上那永远就是别人的事。。。
网络远程攻击 /渗透主要是钉的蛋壳上的缝,对于部分私有应用,完全可以只监听 localhost,去掉对外监听也就断了被攻击的路
漏洞的事不谈也罢,毕竟过于触目惊心
boris93
2020-11-23 13:19:43 +08:00
@livid 看了眼楼主的发帖历史,有多个类似帖子提到他的 smarGate,是否算是推广?
wslzy007
2020-11-23 13:23:37 +08:00
@boris93 很久没推广了,简单工具而已,反正也不打算收费。大家忽略 sg 即可,只讨论安全
wslzy007
2020-11-23 13:26:46 +08:00
本帖是有感而发,源自“小米内网穿透事件”的帖子,对于个人而言比较推崇“内网”到“内网”的安全访问。
locoz
2020-11-23 13:26:49 +08:00
说白了这就跟用 zerotier 或其他 VPN 工具连接没啥差别,而且还更麻烦些
wslzy007
2020-11-23 13:31:13 +08:00
@locoz
端口映射和类 vpn 工具是不同的,vpn 是网络二层打通,相当于直接开放子网,一般是采用 tun/tap 驱动。
端口映射就是单纯的点到点的打通,看使用场景
chengzi168
2020-11-23 13:31:55 +08:00
忍不住小声问一句,SSH 是哪几个单词的缩写。。。
deorth
2020-11-23 13:52:05 +08:00
@Jirajine 之前用了一段时间的 ssh 转发端口,但是并不方便,需要针对每一个端口起一个 ssh 进程,还会经常断开。目前使用 v2ray 转发端口,web 类的服务则不需要转发端口,访问时走 socks5/http 代理即可,只需要在客户端侧的内网中有一个 v2ray 进程,还可通过旁路由+透明代理实现客户端机器无需配置,这都是 ssh 转发无可比拟的
xuanbg
2020-11-23 14:12:02 +08:00
白名单最安全,又简单。
webshe11
2020-11-23 14:12:12 +08:00
@chengzi168 secure shell
DoctorCat
2020-11-23 14:16:05 +08:00
你这个方案太麻烦了, 我目前在用 autossh + 腾讯云,足以解决问题。安全可以充分利用安全组策略,放你自己的 IP 白名单
Maboroshii
2020-11-23 14:16:33 +08:00
proxy 被破了怎么办? 中间这么长一串不还是相当于透明代理么,不明白意义在哪。除非改成私有协议
wslzy007
2020-11-23 14:20:14 +08:00
@Maboroshii
proxy 无对外服务端口,除非自身不稳定。这个无门槛,也可以自己写一个代理
@DoctorCat
ip 白名单不好做,客户端都是动态 ip

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/728269

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX