这是一个创建于 2077 天前的主题,其中的信息可能已经有所发展或是发生改变。
随着 vps 云主机越来越便宜,vps 已日渐普及。平常的运维管理往往需要开启 ssh 服务,由于是公网 IP,自己的云主机经常会被来源于世界各地的 IP 扫描猜测;当然,可以选择云厂商提供的收费防护服务,价格嘛...但估计也挺感人。有没有好的办法呢?
如果能够拒绝所有外部 IP 对 22 端口的访问不就行了吗?
额。。。剩下的问题就是如何允许自己访问了。
祭出工具:SG ( smarGate ),如何使用 smarGate 请见 github.com/lazy-luo/smarGate
步骤如下:
1、在 vps 主机上运行 smarGate 服务端( proxy_server )
2、在云控制台配置安全组,将 22 端口禁止外部访问
3、在 smarGate 客户端上开启 vps 主机 ssh 反弹穿透(本地端口要求大于 1024 ):
4、通过 SSH 客户端连接手机 ip:2222 即可访问 vps 服务器
这样配置的好处是只有通过你配置的 smarGate 客户端才能访问到 vps 的 ssh 服务,而手机你是不离身的。可控、安全。
 |
1
gam2046 2020-02-23 14:50:47 +08:00
扫就让他们扫嘛,反正是证书登陆。
批量扫的,也就是尝试一批弱口令。 这要是能被爆破出来,我也就认了 |
 |
2
hzqim 2020-02-23 15:00:26 +08:00
我是禁止 root 登陆。
|
 |
3
gearfox 2020-02-23 15:05:52 +08:00
换默认端口,禁止 root 登陆+fail2ban,暂时还没出过问题
|
 |
4
qwvy2g 2020-02-23 15:13:04 +08:00
我是配置完禁止 ssh 登录和禁止 ping,平常操作用控制面板 vnc 访问就行了。
|
 |
5
manami 2020-02-23 15:15:43 +08:00 via Android
SSH 换默认端口,关闭 22 端口
|
 |
6
wslzy007 OP 密码倒不是弱密码,但看统计数据每晚峰值最多有大几万的 tcp 连接。。。
现在一切都安静了 |
 |
7
PHPer233 2020-02-23 15:29:48 +08:00  1
不要用默认端口,把 ssh 服务换成其他端口不就好了。。。。
|
 |
8
windyland 2020-02-23 15:32:02 +08:00 via Android
换带宽简单快捷
|
|
9
wslzy007 OP 换端口是个办法,但毕竟还是会被扫描到的,本意是不希望外部连接 vps 上特定端口,仅能自己使用
|
 |
10
turi 2020-02-23 15:37:56 +08:00 via iPhone
怕扫描那就禁 ping,然后换端口
这样要是还有几万 tcp 连接那就要换一家服务商了 |
|
11
wslzy007 OP 禁止 ping 没用的,都是 tcp 连接。。。
|
 |
12
satifanie 2020-02-23 15:44:18 +08:00
证书登录+fail2ban 就能阻挡大部分了。再不然换端口也行
|
|
13
wslzy007 OP 证书登录也挡不住巨量 tcp 连接,换端口过不了多久又照旧了。。。
|
 |
14
BFDZ 2020-02-23 16:04:54 +08:00 via Android
22 端口有几万次登录失败,换端口以后一次都没有
|
 |
15
fengtons 2020-02-23 16:16:38 +08:00 via Android
换端口+禁止 root 登录,能将端口+用户名+密码同时扫出来的概率有多大?
|
 |
16
starrycat 2020-02-23 16:18:28 +08:00 via Android
sg 本身安全吗
|
|
17
wslzy007 OP vps 高联通网络,是 p2p 的没啥安全问题
|
 |
18
pperlee 2020-02-23 16:23:26 +08:00
最完美解决办法:关闭 vps 的 ssh
如果不想关闭又怕扫描,购 2 台同一个局域网的 vps,主 vps 仅限内网 ip 访问 :D |
 |
19
vocaloid 2020-02-23 16:49:56 +08:00
直接换端口。。一个月能降到只有一两个人扫描
|
 |
20
eason1874 2020-02-23 16:59:05 +08:00
直接换高位端口+证书登录,相当稳,不是被恶意针对不会有问题。
既然是云主机,实在不想被骚扰你完全可以把云的功能用起来,在安全组规则那里限定只有你的 IP 才能访问 SSH 端口。然后通过云 API 在本地或者网站配置一个更新安全组规则 IP 的功能,定期主动把本地最新 IP 更换上去,或者手动同步。 |
 |
21
txydhr 2020-02-23 17:56:30 +08:00 via iPhone
除非你是开机场一类的的怕被竞争对手定向搞,一般改个高位端口就足够了。
|
 |
22
Felldeadbird 2020-02-23 18:00:34 +08:00 via iPhone
换 ipv6 和改常用端口不就可以解决被扫问题了吗?
海量的地址,用现在的模式扫,时间成本太大。 |
 |
23
barrelsoil 2020-02-23 18:26:12 +08:00 via Android
你说密码复杂点,加上 f2b 3 次失败禁止,怎么可能爆破
|
 |
24
AmrtaShiva 2020-02-23 18:26:54 +08:00
两个月不到 VPS 被人恶意尝试登陆过近千次 IP 看了一下 集中起来 二十来个 国内两个大厂占了几乎全部来源 呵呵 还有个江苏镇江的 剩下一个美国的 到底谁在作恶 谁在怂恿恶人作恶
|
|
25
wslzy007 OP @AmrtaShiva 估计是大部分人的困惑吧。尽管密码负杂也扛不住太多的 tcp 连接呀,我遇到的大多是国外的 ip,国内的集中在广东
|
 |
26
huntcool001 2020-02-23 19:12:33 +08:00
@wslzy007 不是很明白... 我用证书登录,和密码复杂有啥关系
|
|
27
wslzy007 OP @huntcool001 证书和复杂密码是类似的,只是确保登录安全,却无法阻止有心之人的大量 tcp 连接,连接多了消耗服务器资源。。。so,我是希望别人无法连接
|
 |
28
Osk 2020-02-23 19:25:31 +08:00
换端口
禁止密码登录, 使用证书 端口敲门 fail2ban 我只做了上面两点, 其它我觉得没必要就没做了, 反正 vps 没啥东西 |
 |
29
lightwell 2020-02-23 19:32:00 +08:00 via Android
自己用用的 vps 换个端口就行了
|
 |
30
MeteorCat 2020-02-23 19:37:01 +08:00 via Android
换端口+证书验证+禁用 root 可以免疫 90%攻击
|
 |
31
zjqzxc 2020-02-23 19:46:20 +08:00
有一种叫做“堡垒机”的东西,业务用服务器的 ssh 端口只允许堡垒机 IP 连接
至于堡垒机怎么保证安全... 可以在换端口+证书登录+禁止 root 的前提下,只允许通过 VPN 连入的用户登录,也就是说,堡垒机只对外开放一个 VPN 端口即可。 只要不出内鬼,自己不手残把 VPN 和堡垒机的证书同时泄露,在没有遇到重大漏洞的时候一般是安全的。 |
 |
32
chinesestudio 2020-02-23 20:01:22 +08:00 via Android
改端口 fail2ban 就行了 。要是服务器上程序有问题 root 密码再长也一样是肉鸡。
|
 |
33
Kobayashi 2020-02-23 20:06:38 +08:00 via Android
艹不百
ufw limit fail2ban port knocking |
 |
34
aru 2020-02-23 21:31:25 +08:00
换成仅允许 key 登录后,我对 openssh 的安全性更信赖
|
 |
36
laydown 2020-02-23 22:36:31 +08:00
用两步验证,ssh 我就用最简单的密码,就用 22 端口,他扫任他扫,破掉算我输!
用 key 的话,换台电脑就很麻烦。或许有人又说了,谁让你用别人(或公共)电脑啦,可我就有这样的需求啊。 ssh 两步验证,搞起来,如果不是有人特别针对你,基本安全无虞。 |
 |
37
LokiSharp 2020-02-23 23:53:07 +08:00
被扫无所谓的,用证书登陆就行了
|
 |
38
jousca 2020-02-24 00:41:58 +08:00
我是设置 10 次错误就把对方 IP 拉黑
|
 |
41
kingcc 2020-02-24 11:00:36 +08:00 1
knockd 了解一下
|
 |
42
brMu 2020-02-24 11:10:56 +08:00
一般也只会扫 22,换个高端口基本免疫了,除非人家专门搞你。
|
 |
43
saytesnake 2020-02-24 11:29:52 +08:00
就让它扫呗,反正是证书登陆的,扫扫更健康。
|
 |
44
RyuZheng 2020-02-24 12:11:57 +08:00 1
我做了 5 个措施,写了一篇博客,https://zhengzexin.com/archives/VPS_No1_SSH/
- 修改 SSH 默认的 22 端口 - 使用 fail2ban 去屏蔽多次尝试密码的 IP - 禁止 root 用户直接登录 - 使用密码加 Google Authenticator 2 步验证进行登录 - 或使用有密码的 SSH 密钥进行登录 |
 |
45
leavic 2020-02-24 13:02:49 +08:00
我就直接禁止密码登录就行了。
|
|
46
leavic 2020-02-24 13:03:52 +08:00
禁止密码登陆后,返回的错误不是密码错误而是证书错误,我就不信爆破机器人这么弱智,连这错误都看不懂还瞎破?
|
 |
47
isnullstring 2020-02-24 14:36:48 +08:00
换端口+1
从每天 5000+尝试 到 0 |
 |
48
wanguorui123 2020-02-24 20:19:38 +08:00
每天有超过 35000 次扫我的端口,依然淡定
|
Select Language