国内云服务器怎么做 ssh 安全防护

2022-01-04 11:31:09 +08:00
 Nazar1te

目前是几个云服用 wireguard 组了内网,然后 ssh 只允许 wireguard 网段访问

如:

Allowusers user1@10.0.0.*
Allowusers user2@10.0.0.*
Allowusers lighthouse@*
Allowusers admin@*

lighthouse 与 admin 分别是腾讯云和阿里云网页端的远程用户名。

还有其他推荐的方法吗?

6459 次点击
所在节点    Linux
42 条回复
anonydmer
2022-01-04 11:42:05 +08:00
我们的方法:
anonydmer
2022-01-04 11:42:35 +08:00
1. 只允许跳板机登录
2. 跳板机要用 vpn 登录
huangmingyou
2022-01-04 11:45:01 +08:00
禁用密码登陆,通过跳板机控制好证书
mineralsalt
2022-01-04 11:49:11 +08:00
不要搞弱密码, SSH 非常安全, 不要庸人自扰, 随机一串大小写特殊字符的密码, 超级计算机出马都没用
RangerWolf
2022-01-04 11:49:27 +08:00
@anonydmer VPN 有什么推荐的方案吗?
@huangmingyou 想请教一下,跳板机怎么才算控制好证书?如果是多人协作呢?有推荐的方案吗?
zlowly
2022-01-04 12:00:39 +08:00
同意 4 楼的。
openssh 的真正有危害性的严重漏洞好像就那几个,打好补丁的情况下,强密码配合 fail2ban 即可,只要密码不泄露,就无需过多其他忧虑。
另外个人认为其实大部分情况下做好管理的密码,比证书更安全。存放了证书的个人计算机,它的防护往往是更弱,漏洞更多的。
tubowen
2022-01-04 12:01:10 +08:00
改默认端口,用公私钥对登录
steptodream
2022-01-04 12:04:07 +08:00
@zlowly 证书也可以加密码啊, 莫非大家用证书都用的无密码模式。
yaoyao1128
2022-01-04 12:09:59 +08:00
禁止默认账户(云服务厂商的用户)
实在需要登陆的时候 vnc 登陆
善于使用安全组的话 关闭所有 ssh 的端口 需要的时候通过 api 或者页面再打开


@zlowly 部分同意 但是密钥都能泄漏的场景密码一般也能得到 但是密码能获取的场景密钥不一定能得到 因为刚接触服务器的时候开 22 被一堆地址同时扫过 ssh 所以个人感觉加密的密钥才是相对安全的
ragnaroks
2022-01-04 12:10:46 +08:00
禁止 root 远程登录,卸载 sudo ,需要提权时预先 su root 并使用定时更换的密码(我是 cron.daily 对当前日期取 sha1 设为密码)
Nazar1te
2022-01-04 12:21:42 +08:00
@anonydmer 谢谢,只留一台跳板机入口确实是个好主意
Nazar1te
2022-01-04 12:23:29 +08:00
@mineralsalt 主要是原来有一台计算云服被攻击用来挖矿了,当时那台机器开了公网 22 和 3306 ,密码也不算简单,所以想上 v2 来问下
gesse
2022-01-04 12:23:47 +08:00
修改默认端口+fail2ban+ssh 密钥对,难道还不够?
Nazar1te
2022-01-04 12:25:12 +08:00
@zlowly 谢谢指导,没试过 fail2ban ,回去研究一下
Nazar1te
2022-01-04 12:29:16 +08:00
@yaoyao1128 谢谢指导,ssh 端口全禁,通过页面打开稍微麻烦了点,api 可以考虑一下。另外请教下怎么看自己的端口有没有被扫过
yaoyao1128
2022-01-04 12:42:51 +08:00
@Nazar1te 扫端口不太了解了 我是看 ssh 日志和 fail2ban 的列表出现一堆……阿里云不太了解轻量 普通的云服务器安全组可以用 app 控制 api 的话 key 一定要保存好
xuanbg
2022-01-04 13:02:25 +08:00
IP 白名单
iqoo
2022-01-04 14:03:48 +08:00
zlowly
2022-01-04 14:26:30 +08:00
@yaoyao1128
@steptodream
在我接触的环境里,空 passphrase 并不少见,弱 passphrase 暴力破解更是容易,当然这和各人安全防范意识相关。
而且常常为了使用方便,都用各种 agent 先 load 私钥,理论上就存在可被窃取的安全隐患。
安全木桶上短板越多越不安全啊。

当然安全风险还是要自己根据自己环境评估的,在不和互联网联通的内部网络我就是用私钥的。
yaoyao1128
2022-01-04 14:38:37 +08:00
@zlowly 主要是 key 的话 攻击手段只能是针对现有正在使用的设备进行攻击 即使有了 key 也不能无差别的攻击 而密码的话 攻击点可以是多个 无差别攻击的人只需要随便尝试 而 key 丢失场景我觉得基本上是你电脑已经中招了 如果是用 agent 的话能想到窃取 key 的人一定能想到窃取密码和服务器地址 而不是被 agent 得到的话一般得到文件也不一定能知道密码和地址( ps 个人觉得 ssh 的 knownhosts 很不安全)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/826045

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX