vps：一种安全访问 ssh 的方法

闲得蛋疼。禁用密码登录，fail2ban，禁止 root 登录，我这么用了十几年屁事没有。

@K4 233333

@no1xsyzy 最早没有 shadowsocks 的时候大家都是用这种方法科学上网的，为什么发明了 ss/ssr，再到 v2ray，因为需求是在增长的。我现在的需求早就不是一个转发的 socks5 代理能解决的了（何况据说这玩意还容易导致你的 VPS 被墙，反正我是不敢多用）

@oxromantic 什么叫做自己的 IP 。。。家宽 IP 会换，如果是另外一台服务器的话，一是麻烦，二是那台忘记续费了两边一起炸

@deorth 淦，你说的是科学上网么……
开 -R 和 -D 是为了 VPS 上监听 127.* 的服务啦……

@learningman 有一种方式 IP 变动就登控制台改安全组。

@no1xsyzy 我现在在客户端只需要起一个 v2ray，便可同时实现在外访问家里服务 /科学上网。

搞得好像 ssh 有漏洞，代理软件就没漏洞一样。

有明白人，也不缺杠精
安全没有绝对，之前说过了，试图探讨一种针对私有资源通用的安全解决方案（ ddos 攻击不讨论），重点就 3 个：
1 、vps 主机关闭所有对外监听
2 、在 1 ）这个约束下想办法让自己能够访问
3 、进一步思考如何保证只有自己能访问

服务提供商不是都提供 web console 吗？偏要干的话，关闭全部端口，只用 web console 就行了。

思路是不错，但是还不如做一台中转机。 用的时候才开启 中转机。然后内网连接 目标服务器。

在刺激点，外网服务器反代内网目标服务器。 这样外网服务器就是被黑了。我换一台反代就可以了。

顺带歪个楼；
虽然还没用过 lz 写的 SG 工具，但看到 lz 的功能介绍，让我想到了我前公司的一款产品；

部署在客户内网的一台定制化 Linux 系统，不对公网开放任何端口；但 web 管理界面上提供原厂在线技术支持服务；
客户点击发起远程支持后，系统底层就起一个 ssh 的反向 tunnel 连回到公司的服务器并获取一个 ticket，
我们售后工程师通过这个 ticket 在公司的服务器上获取对应客户反向连接的随机分配端口号，直接 ssh 就可以登录客户内网的系统上处理问题了；

所以我觉得 ssh 真的是又安全又强大；
ssh -L 、ssh -R 、ssh -D 菜刀 3 连，简直是渗透神器！

@moonfly 思路上是契合的
差异在于（同样的场景为例）：
1 、sg 无需在定制化 linux 中运行，任意一台内网设备即可。不依赖 ssh，仅仅单纯提供安全隧道
2 、sg 无需获取 ticket，依赖用户登录会话进行识别，完整的用户间隔离
3 、远程支持的随机端口是在客户端按需配置的，客户端为手机移动 app

我就是使用类似的思路来访问家里的网络的，内网里只通过 frp 暴露出来一个 aes-256-gcm 协议的 ss 代理，然后访问内网的请求都走这个代理。现在无论 clash 还是 surge 都支持通过域名访问特定的代理，比直接暴露服务出来安全多了。

@Tonni
多了一层防护而已，毕竟还是将 ss 代理直接暴露公网了

换个思路吧：ssh 端口日常是关闭的，按需开放，比你那个简单可靠多了

@wslzy007 大佬碰到过 SSH 的漏洞没，只要你不设弱口令被人猜到，你听到谁的 SSH 被破掉了？

@nmap +1

@nmap 大佬这么一说，我就想起来了，我以前也搞过，/t/391395

@wslzy007

ssh 就默认的 22 口令复杂点 加个 fail2ban
主要的问题还是其他服务，netstat 看看开了哪些口对应哪些服务，还有没弱口令，定期修洞。