vps：一种安全访问 ssh 的方法

我的做法跟 #18 楼类似，通过安全组 API 自动设置白名单，连接的时候才打开端口，不连的时候连端口都不开，避免流量骚扰。

特定 IP 放行不行吗？为什么要反向隧道……

搞这么麻烦,
port knocking 或者 2fa 不香?

我觉得他的想法是 ssh 的端口 外面用户可以连上不安全，所以放在 127 上面 然后利用 proxy 来连，ssh 是安全了， 你的 proxy 安全吗？ 你的 proxy 被 ddos 了，你连 ssh 都没机会连了。ssh 的安全防护 在 proxy 上不得都来一次? 你的 proxy 的加密方式比 ssh 的好？ 你和 proxy 的通讯又是一种裸奔。

直接设置白名单一样效果，根本不需要什么反弹工具

而且操作不好或者被攻击还会有无法访问的风险

@lbyo 看来没 get 到点。SSH secure shell，人家本来就是安全的 shell，自带一堆可以提高安全的工具，为啥还要自己造个轮子。

SSH 搞上 mfa 会不会更安全？
https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-16-04

先想想你的服务器数据有没有 ssh 0day 有价值

也就是说把“ssh 的安全风险”转嫁到了一个“端口反弹工具”上？你确定这个“端口反弹工具”比 ssh 还安全？

@mytsing520 把“ssh 的安全风险”转嫁到了一个“堡垒机”上？你确定这个“堡垒机”比 ssh 还安全？

感觉这句话可以复制修改来怼好多评论🤦‍♂️

@CSM 👍😂

改端口，端口白名单只开放给堡垒机，堡垒机通过 VPN 连，VPN 和堡垒机的登录用 MFA 验证
禁密码登录，生成私钥的时候强制用复杂密码（防止修电脑泄露）

做到这样就足够了吧。担心 SSH 的漏洞还不如搞好服务器的白名单管理，别什么乱七八糟的服务都开到外网

以前也有过同样的想法。

@firefox12
自己的使用方式是：
1 、手机上有 proxy
2 、vps 上启动 proxy 但只外连不监听
3 、两个 proxy 最终会以 tcp 方式建立 p2p 隧道（通过第三方服务器协商地址）
4 、电脑 ssh 客户端访问手机 proxy，通过隧道访问 vps 上 localhost：22
ps：以透明代理方式访问，因此会在隧道中进行正常握手（隧道为普通 tcp 连接）
好处：
1 、vps 上没有任何监听端口对外服务，除了 ddos 外，安全坚固
2 、手机网络是私有网络，安全
3 、带着手机，随时随地访问服务器

@deorth 看下 ssh -D 选项，不需要 v2ray，直接走 socks5 代理

.................. 为什么总有人以为自己机子被日了是 ssh 的原因

绝大多数入侵都不是从 ssh 进去的

建议学习 linus 定律：足够多的眼睛，就可让所有问题浮现
拿大教堂与集市的比喻来说，名不见经传的业余人士构造的私有协议和私有实现基本就跟创建兄弟会差不多。

我没记错的话，几年前有个啥公司，就是公司员工凭据被盗，导致全被拿下。好像是方程组？
你中间转发的代理机，web （如果有），客户端。可突破的点又不只一个

前段时间在 GitHub 上看到个项目： https://github.com/skeeto/endlessh
大致思路是故意打开 22 端口，并且接受所有连接，但是不进行真实的数据交换，就在那拖着