这是一个创建于 1092 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果限制只能通过袋里服务器 ip 连接 ssh ,袋里服务器如果崩了也完了
是不是限定 ssh 登录 ip 本身就是一种不安全行为
是不是限定 ssh 登录 ip 本身就是一种不安全行为
 |
1
l4ever 2021-11-09 08:42:59 +08:00
买个跳板机啊
|
 |
2
asilin 2021-11-09 08:44:45 +08:00  3
1. 限定 ssh 登录 ip 本身就是一种安全行为。
2. 你需要的是一个动态 IP 限制的机制,建议搜索 "SSH Port knocking",完全满足你的需求。 |
 |
3
privil 2021-11-09 08:46:07 +08:00
给 ssh 加二次认证。
|
 |
4
tankren 2021-11-09 08:51:21 +08:00
只能密钥登陆 不能密码登录也可以啊
|
 |
5
skinny 2021-11-09 08:57:32 +08:00
换端口、公钥、限制用户名或用户组登录不行吗?要不然 IP 范围扩大一点?要不然证书登录?如果是普通的 VPS ,代理崩了可以从网页登录控制台进去改,别“安全”得像 facebook 得拿角磨机才能进去……
|
 |
6
eudore 2021-11-09 09:05:43 +08:00
限制登录 ip 为 ip 端段,要是攻击者和你同一个城市算你倒霉。
|
 |
7
imherer 2021-11-09 09:41:59 +08:00
听 1 楼的,跳板机
|
 |
8
CallMeReznov 2021-11-09 09:49:00 +08:00
密钥+knockd
99.9999999%的情况都可以了 跟那啥就上 VPN+跳板机吧 |
 |
9
yEhwG10ZJa83067x 2021-11-09 10:04:29 +08:00
我觉得你这么做目的是为了安全,个人感觉可以换个方式:开启密钥登录+禁止 root 登录+禁止密码登录 足以了!
|
 |
10
sohunjug 2021-11-09 10:13:54 +08:00
关闭 22 端口 用 zerotier 或者 tinc
|
 |
11
clf 2021-11-09 10:21:40 +08:00
我是用 zerotier ,限制只能通过 zerotier 的网段登录。
|
 |
12
Remember 2021-11-09 10:31:32 +08:00
去买一个腾讯轻量云做跳板,不到 50 一年。
|
 |
13
PerFectTime 2021-11-09 10:33:07 +08:00 1
买个跳板机=>跳板机做安全防护=>买个跳板机
无限套娃吗 doge |
 |
14
SmiteChow 2021-11-09 10:36:25 +08:00
@PerFectTime 我和你想的一样,哈哈
|
 |
15
40EaE5uJO3Xt1VVa 2021-11-09 11:08:44 +08:00
@clf 好办法,学到了
|
 |
16
yooping 2021-11-09 13:36:10 +08:00
我有一台 vps 限制了家里的动态 ip ,家里配了 ddns ,vps 每隔 10 分钟解析一下,如果跟策略里面的不匹配,就删除重建一条。
|
 |
18
xxb 2021-11-10 09:42:02 +08:00
tailscale 虚拟局域网,限制 100 网段登录
|
 |
19
feitxue 2021-11-10 11:37:49 +08:00
@sadfQED2 facebook 服务宕机 去物理机操作被锁了 物理限制只能通过角磨机来干掉锁 后面辟谣了 当段子就行. 官方回应是遇到了物理麻烦
|
 |
20
yogapants 2021-11-10 14:37:48 +08:00
限制 ip 段吧,我的阿里云上线 2 天 ssh 暴力破解直接 10 万+次,我还是改了 ssh 端口的,安装了 fail2ban 也没太大用,最后限制 ip 段就清净了,我感觉主机的 ip 应该是挂在黑客的论坛上的,有人拿来练手,一旦发现无法攻破或者难度非常大这些人标注之后基本就不来了。
|
Select Language