V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
foreverlucas
V2EX  ›  Linux

服务器无时无刻不被 SSH 爆破

  •  
  •   foreverlucas · 2015-05-14 20:02:13 +08:00 · 10836 次点击
    这是一个创建于 3478 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT
    装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
    装了fail2ban,但是CentOS7没iptables
    咋办啊。。。QAQ
    60 条回复    2015-05-18 01:03:13 +08:00
    aiguozhedaodan
        1
    aiguozhedaodan  
       2015-05-14 20:03:33 +08:00 via Android
    改端口,换密钥登录
    然后爱扫就扫无视即可
    sanddudu
        2
    sanddudu  
       2015-05-14 20:04:04 +08:00
    关掉密码登录,用私钥登录
    改掉默认端口
    禁用 root
    foreverlucas
        3
    foreverlucas  
    OP
       2015-05-14 20:04:14 +08:00
    @aiguozhedaodan 改了端口连接失败
    上次就是,不得不买了iKVM的额外IP……
    foreverlucas
        4
    foreverlucas  
    OP
       2015-05-14 20:04:41 +08:00
    @sanddudu 我是个经常丢pem的人
    foreverlucas
        5
    foreverlucas  
    OP
       2015-05-14 20:04:59 +08:00
    现在就想求一个能用的防火墙
    lyragosa
        6
    lyragosa  
       2015-05-14 20:05:12 +08:00
    CentOS7 没iptables了?
    foreverlucas
        7
    foreverlucas  
    OP
       2015-05-14 20:05:47 +08:00
    @lyragosa 对啊。改firewalld
    KexyBiscuit
        8
    KexyBiscuit  
       2015-05-14 20:06:26 +08:00 via Android   ❤️ 1
    @foreverlucas ('▽'〃)换宽带,我深刻明白了国际线路再好,国内差也没得救的道理。
    公私钥是正解,Skype 上说过啦~关掉密码登录后就不需要什么 deny 或者 ban 了。
    wy315700
        9
    wy315700  
       2015-05-14 20:08:00 +08:00
    关掉密码登录
    foreverlucas
        10
    foreverlucas  
    OP
       2015-05-14 20:08:08 +08:00
    @KexyBiscuit 这。。是。。国内服务器。。。。
    lhbc
        11
    lhbc  
       2015-05-14 20:10:11 +08:00
    找不到不换端口的理由
    我所有服务器的端口都是不同的
    foreverlucas
        12
    foreverlucas  
    OP
       2015-05-14 20:12:02 +08:00
    @lhbc 是在/etc/ssh/sshd那个配置文件么?
    我改了,重启服务,ssh上不去了
    aiguozhedaodan
        13
    aiguozhedaodan  
       2015-05-14 20:12:16 +08:00 via Android
    @foreverlucas 是不是对方端口没给你开全啊。。
    foreverlucas
        14
    foreverlucas  
    OP
       2015-05-14 20:12:53 +08:00
    @aiguozhedaodan 电信公网IP 除了80(备案才给开)都开
    kslr
        15
    kslr  
       2015-05-14 20:18:39 +08:00 via Android
    @foreverlucas 怎么个失败法?
    bobopu
        16
    bobopu  
       2015-05-14 20:24:19 +08:00
    1.改端口
    2.新建复杂用户名+复杂密码
    3.禁止root登录
    4.设置每ip每60秒扫描超过4个端口拉黑12小时。
    5.设置输错远程密码拉黑ip12小时。
    facat
        17
    facat  
       2015-05-14 20:31:45 +08:00
    用强密码,换端口,有这两样应该很难被爆了吧
    rolay
        18
    rolay  
       2015-05-14 20:32:59 +08:00   ❤️ 1
    服务器装个shadowsocks,ssh端口关闭.然后xshell走ss代理连接好酸爽.
    brando
        19
    brando  
       2015-05-14 20:33:56 +08:00
    只允许特定IP登陆。
    neoblackcap
        20
    neoblackcap  
       2015-05-14 20:42:33 +08:00
    为什么还要用密码登陆啊?密码登陆并不安全,我都是公/私钥登陆并禁止密码登陆的。
    还有的就是记得改端口。
    GeekTest
        21
    GeekTest  
       2015-05-14 20:44:01 +08:00 via Android
    直接关ssh233333
    yylzcom
        22
    yylzcom  
       2015-05-14 20:53:56 +08:00 via Android
    换个用户名换个端口他能猜到?
    不行就证书登录呗
    bellchu
        23
    bellchu  
       2015-05-14 20:58:01 +08:00
    passwd root -d
    pangtianyu
        24
    pangtianyu  
       2015-05-14 21:17:42 +08:00
    为什么不用 firewalld 啊 不是蛮好的嘛
    keke88168
        25
    keke88168  
       2015-05-14 21:18:07 +08:00
    我就说一点:centos7有iptables的……
    hotsnow
        26
    hotsnow  
       2015-05-14 21:18:28 +08:00
    debian8 都默认禁止 root 登录了
    xuhaoyangx
        27
    xuhaoyangx  
       2015-05-14 21:29:00 +08:00
    = =用自带防火墙做个检测特定大小的ping包,检测到了打开ssh用的端口一段时间。
    coolcfan
        28
    coolcfan  
       2015-05-14 21:30:51 +08:00
    换个端口先
    coolcfan
        29
    coolcfan  
       2015-05-14 21:34:30 +08:00
    @foreverlucas 你 firewalld 是不是开着……如果开着记得把新端口加进去,用 firewall-cmd 。

    firewall-cmd --permanent --add-port=xxx/tcp
    差不多是这种格式的样子……
    love
        30
    love  
       2015-05-14 21:51:33 +08:00
    把SSH用强密码或禁密码用key登录就根本不用管了
    O21
        31
    O21  
       2015-05-14 21:51:46 +08:00 via Smartisan T1
    换个端口可以解决你很大的困扰
    maxbon
        32
    maxbon  
       2015-05-14 22:04:26 +08:00
    1、hosts限制
    2、换端口
    3、用key登录
    cnhongwei
        33
    cnhongwei  
       2015-05-14 22:12:46 +08:00
    我也是使用centos 7,通过epel安装的fail2ban,其中带了firwallcmd的配置,可以直接使用。
    stanhou
        34
    stanhou  
       2015-05-14 22:27:57 +08:00
    我有个日本的VPS专门用来做VPN,然后我的所有服务器都只允许这个这个VPN的IP连接,感觉比较省心。
    fuge
        35
    fuge  
       2015-05-14 22:31:50 +08:00 via iPhone
    没有iptables就不行了,firewall不是要比iptables先进?
    skyworker
        36
    skyworker  
       2015-05-14 22:33:30 +08:00
    端口换成22222,能少了99%的攻击。

    要是还能被查到第2万2千个端口,然后攻击你,那你小心了,被人盯上了。
    echo1937
        37
    echo1937  
       2015-05-14 22:34:35 +08:00
    @foreverlucas CentOS 7有iptables,也同时有firewalld
    lhbc
        38
    lhbc  
       2015-05-14 23:10:37 +08:00
    @skyworker 我是 30000-65500 随机一个,基本上没见过 failed login
    kxmp
        39
    kxmp  
       2015-05-14 23:19:42 +08:00
    iptables -I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 10 -j REJECT
    mazyi
        40
    mazyi  
       2015-05-14 23:37:56 +08:00
    iptables应该不错
    chenshaoju
        41
    chenshaoju  
       2015-05-14 23:39:29 +08:00
    用UDP敲门……
    octopus_new
        42
    octopus_new  
       2015-05-14 23:59:46 +08:00
    firewall-cmd --zone=public --add-port=xxx/tcp --permanent
    Firewalld真的是好用得不得了,谁用谁知道:)
    9hills
        43
    9hills  
       2015-05-15 00:10:19 +08:00 via iPad
    重复解决不存在的问题。用密钥一了百了的事情
    lightening
        44
    lightening  
       2015-05-15 00:20:53 +08:00
    放在互联网上的机器用秘钥登录是常识。
    zhengkai
        46
    zhengkai  
       2015-05-15 00:33:35 +08:00 via Android
    禁止密码登录就完了,其他操作都是在折腾自己
    dzxx36gyy
        47
    dzxx36gyy  
       2015-05-15 00:54:21 +08:00
    1.换端口
    2.换密钥登陆,关闭密码登陆
    3.安装fail2ban
    好了,你不用纠结了
    lingo233
        48
    lingo233  
       2015-05-15 02:12:07 +08:00
    我已经把端口改为了2333333
    lucifer4he
        49
    lucifer4he  
       2015-05-15 09:52:26 +08:00
    我都是直接添加秘钥
    lucifer4he
        50
    lucifer4he  
       2015-05-15 09:52:50 +08:00
    然后禁用密码登陆
    问题解决
    xiahai4shui
        51
    xiahai4shui  
       2015-05-15 10:32:51 +08:00 via iPhone
    两步验证
    likuku
        52
    likuku  
       2015-05-15 11:27:23 +08:00
    上次装 ubuntu server 时,发现默认会装这个:
    sshguard

    查到相关如下:
    Sshguard - Gentoo Wiki : https://wiki.gentoo.org/wiki/Sshguard/zh-cn

    「sshguard 是一种入侵防御系统。 sshguard 解析服务器日志,检测恶意行为,然后通过防火墙规则禁止恶意用户登录。 sshguard 是用 C 写的,因此不需要额外的解析器。」
    likuku
        53
    likuku  
       2015-05-15 11:27:59 +08:00
    当然,禁止 password auth,仅许可 密钥认证是王道。
    uuair
        54
    uuair  
       2015-05-15 12:05:41 +08:00
    @foreverlucas 第一,firewall也是防火墙啊。。第二,如果怕ssh攻击,你可以改成不允许密码登录,只能用key的方式,还可以换ssh的端口。
    quix
        55
    quix  
       2015-05-15 12:07:54 +08:00
    这年头 ssh 还有敢用密码登陆的啊...
    bingx86
        56
    bingx86  
       2015-05-15 12:13:13 +08:00
    还是觉得应该禁用用户密码 SSH 登录
    timothyye
        57
    timothyye  
       2015-05-15 13:53:56 +08:00
    禁止密码登录,改用证书,整个世界就清洁了
    moliliang
        58
    moliliang  
       2015-05-15 16:20:26 +08:00
    对啊,大家都说了, 禁止密码登录,改用sshkey密钥登录就好啦。。。
    wuyadong
        59
    wuyadong  
       2015-05-15 18:25:30 +08:00
    换端口,禁root,基本就够了。
    napsterwu
        60
    napsterwu  
       2015-05-18 01:03:13 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5291 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.