买的本来想放 blog 的云服务器,都闲置了好久了,端口不是 22,很少登上去看,之前印象很清净,只有一堆恶意 80 443 端口的。
今天偶然发现一堆失败记录,之前吐槽恶意访问的时候有 v 友说 fail2ban,所以当时也是顺带做了 sshd 登陆失败的 ip ban 的,但好像没什么效果 毕竟发现很多尝试的记录 而且还在继续尝试。
linux 比较生疏,v 友们我需要做什么应对措施比较好呢?
This topic created in 1995 days ago, the information mentioned may be changed or developed.
 |
1
BrettD Nov 29, 2020 via iPhone
改成公钥登陆,一劳永逸
|
 |
2
opengps Nov 29, 2020
公网扫描器一大堆,对外只开通业务必须的端口,比如 web 用的 80
管理用的 22,3389 改成非常规端口 数据服务用的端口比如 3306,1433,6379 尽可能避免对公网开放,确实要开放则通过安全组改下端口,限制下 ip 白名单 |
 |
3
firefox12 Nov 29, 2020
改端口是必须的
|
 |
4
codyfeng Nov 29, 2020 via Android
> 好像没什么效果
是不是改了 sshd 端口后,没有对应更改 fail2ban 封的端口? |
|
5
opengps Nov 29, 2020
fail2ban 可以针对来自单个 ip 的多次尝试,没法针对来自全网扫描器的不同 ip 的各自尝试
|
 |
6
jim9606 Nov 29, 2020  1
那玩意直接忽略就好,就当是豫州背景辐射。
反正我是封掉密码登录的。 你要自信地相信 OpenSSH 是目前最注重安全性的开源软件。 |
 |
7
unixeno Nov 29, 2020 via Android
不要用弱口令就行了
|
 |
8
Lemeng Nov 29, 2020
管他干啥,用的时候没问题。没耽误,就行了
|
 |
9
way2create OP |
 |
10
sjmcefc2 Nov 29, 2020
有什么措施可以可视化这些非法登陆呢
|
|
11
codyfeng Nov 29, 2020
@way2create #9
1. 不知道你的配置,据我所知 fail2ban 默认 sshd jail 只 ban port 22,因此如果你的 sshd port 不是 22 有可能相当于没 ban 。查一下 /var/log/fail2ban.log 有没有“already banned”可以验证。 2. 可以用 port knocker 隐藏 sshd port 。 |
 |
12
lewis89 Nov 29, 2020
不要用密码 全改成公钥就完事了 4096 加密的让它去破吧
|
 |
13
freecloud Nov 29, 2020
改个端口,用私钥登录吧。
|
 |
14
Mac Nov 29, 2020
fail2ban 直接封 10000 年。。
|
 |
15
justseemore Nov 29, 2020
 2fa 啊 |
 |
16
ZRS Nov 29, 2020
关密码 换端口
|
 |
17
Caan07 Nov 29, 2020
我现在明白了,要不就 openssl 出问题,要不就我自己发傻把 public key 文件发给别人,4096 加密的,端口就 22,禁止账户仅仅 public key 了,要解密就解密去吧。
|
 |
18
ntgeralt Nov 29, 2020
群晖公网一开 ssh 和主动防护,每 3 秒就一个尝试登陆失败提示
所以,10000 端口以下的太好扫描,都改到 5w 端口以上。 |
 |
19
FS1P7dJz Nov 29, 2020 1
某楼说当成宇宙背景辐射,哈哈哈这个太贴切了吧
|
 |
20
impl Nov 29, 2020 via Android
换端口就行了
|
 |
21
rateltalk Nov 29, 2020 via iPhone 1
亲测改端口禁止 root 登陆有效
|
 |
22
hoyixi Nov 29, 2020
fail2ban 设置 sshd 失败 3 次(或者更少,但是小心自己登错被 ban )直接 ban 该 IP 至少一个小时。对方有足够多 IP,就让对方尽情试好了
|
 |
23
msg7086 Nov 29, 2020 via Android
说改端口有效的,我一个 ssh 改到 10000 以上端口的机器天天被人连上试密码。
|
 |
24
monkey110 Nov 29, 2020
 完全不影响使用 也就懒得管了  |
|
25
opengps Nov 29, 2020
@msg7086 你是不是装上了 11211 之类其他服务的端口号。
改端口确实有效,很多扫描器只搜索默认端口,能跟着端口找的你,如果不是碰巧,那么更像是定向针对你 |
 |
26
tojonozomi Nov 29, 2020
看了帖子之后,去自己闲置的机器上看了下,被试了 10w+次还行
已经禁止掉密码登录了 |
 |
28
forgetandnew Nov 29, 2020 via iPhone
fail2ban 错三次封一年
|
 |
29
indev Nov 29, 2020
虽然没啥太大的影响,但看着日志很烦。
所以我就在防火墙里设置 ip 白名单,只允许信赖的 ip 或 ip 段可以连接 ssh 的端口。 |
 |
30
laminux29 Nov 30, 2020 1
1.不需要改端口,骗自己。密码设置为复杂的强密码就行了。
2.更新、漏洞补丁一定要及时升级。 3.单入口有被 0day 的风险,可以通过多层异构入口来降低被连续 0day 的风险,但也只是降低,没办法 100%阻止,万一哪天这一整套同时被 0day 。 |
 |
31
1if5ty3 Nov 30, 2020
我群晖已经很久没有尝试登陆失败的日志了。。
|
 |
32
hawhaw Nov 30, 2020 via Android
改端口比不改强,但最好是封 ping,因为很多扫描是首先 ping 一圈。
还有种高级的用法是你连之前需要先 ping 一个特殊包,服务器才打开相应端口,你才能连 |
 |
33
elfive Nov 30, 2020 via iPhone
我的裙晖天天被日,我的做法是,配置错一次,永久封禁,相关账号一律 PublicKey 登陆……而且根据来访者 ip 地址,我已经锁定了两个区域,一个在北京,一个在山东,均为联通宽带用户。
因为我就是朋友间的私人服务器,他们用的都是电信,所以我完全可以直接屏蔽掉所有联通的 ip 。甚至只允许省内电信访问。 其实,我也知道 VxN 访问最直接,主要是我看着那些人一个一个 ip 被 ban 觉得很搞笑。 |
 |
34
xuanbg Nov 30, 2020
无视就行了,你无论怎么做都会有这么多的登录失败的。
|
 |
35
Mithril Nov 30, 2020
难道只有我一个人是直接用防火墙规则封了所有端口,只用网页 terminal 登录的么。。。
除非特别麻烦的活,到时候临时开条规则就行了。 主要是那么多 log 看着太烦了。 |
 |
36
LokiSharp Nov 30, 2020
我这边用 RHEL 所以不是很怕 0day
|
 |
37
isnullstring Nov 30, 2020
私钥登录,省事
|
 |
38
totoroyyw Nov 30, 2020
闲着无聊可以试试给 ssh 加 2FA,类似 libpam-google-authenticator
|
 |
39
raptor Nov 30, 2020
基本上改端口能去掉 90%以上的扫描,禁止 ROOT 登录又能去掉一大部分,再关闭密码登录以后,fail2ban 每天就只有一两个 IP 被 BAN 的了。
攻击者也要考虑的成本的嘛,除非你的网站真的值得他们花这个成本去弄,那你估计也不差钱,可以上更好的商业解决方案了。 |
 |
40
scegg Nov 30, 2020
没所谓的。只要你的密码不是在密码表上的,而且你也不是重点目标,那就是一个“常规闲人扫描”,对你服务器的影响也几乎可以忽略。
|
 |
41
bigtotoro Nov 30, 2020
很常见, 没事儿
|
 |
42
xz410236056 Nov 30, 2020
我家 nas 每天都有个几十条。太正常了。
|
 |
43
40EaE5uJO3Xt1VVa Nov 30, 2020
改 10000 以上端口能屏蔽一半的脚本扫描
12+位大小写数字符号的强密码能屏蔽剩下的 99% 密钥登录、指定 IP 登陆或者 vpn 登陆能屏蔽最后的 1% 一般强密码就足够了。除非是专门针对你的,恶意集中爆破你的 ssh 端口,都影响到你登录了。 |
 |
44
Ayahuasec Nov 30, 2020
闲置的 VPS 如果确实没有服务跑在上面,又是优惠的 plan 不舍得销毁的话,为什么直接不关机呢?等到哪天要用的时候再开开不就行了。。。
|
 |
45
leavic Nov 30, 2020
我觉得脑子正常的人写的扫描脚本,碰上密钥登录的都应该自动放弃吧。
|
 |
46
godblessumilk Nov 30, 2020 via Android
@monkey110 老哥的滑稽咋输入的?
|
 |
47
dndx Nov 30, 2020
扫描太正常了,只要禁用密码登录,更新 OpenSSH 版本,没有什么好怕的。
如果实在是强迫症,可以上 port knocking 。但是相信我,如果 OpenSSH 爆出什么 0day,有无数个网站要比你先倒霉。 |
|
48
godblessumilk Nov 30, 2020 via Android
@Ayahuasec 可能在挖矿
|
 |
49
shenyuzhi Nov 30, 2020 1
禁止密码登陆,只允许密钥登录,就妥了。
我以前的一台 vps,登录日志把硬盘都塞满了。 |
 |
50
est Nov 30, 2020
要不换个思路,任意密码都能登陆。只不过登陆进去就只显示一个欢迎信息什么也做不了。
|
 |
51
crasa Nov 30, 2020
恭喜
|
 |
52
loginv2 Nov 30, 2020
云平台有安全组控制的 API,可以申请一个控制策略,每次登录前把自己 IP 加进去,然后启动 ssh 。不需要了 就关闭,这样对外不开放端口,只有用的时候才开
|
 |
53
festoney8 Nov 30, 2020 1
|
|
54
monkey110 Nov 30, 2020
|
|
55
way2create OP |
Select Language