V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 1737 days ago, the information mentioned may be changed or developed.
比如,一个未知身份连接进来尝试错误几次用户名 /密码之后,就自动屏蔽几分钟。
这样可以极大的延缓密码被试出来。
这样可以极大的延缓密码被试出来。
 |
1
wzxlovesy Jul 25, 2021 via Android  2
fail2ban
|
 |
2
dangyuluo Jul 25, 2021 2
sshguard 更优
|
|
3
wzxlovesy Jul 25, 2021 via Android 1
用 ssh key 也行
|
 |
4
LeeReamond Jul 25, 2021
默认无拒绝,所以有一些速度很快的工具,内网的话可以默认为 10 位内弱密码容易破
|
 |
5
huoshen Jul 25, 2021 via iPhone 1
设置公钥登录并禁止密码登录,基本上一劳永逸了
|
 |
6
Yadomin Jul 25, 2021 via Android
不设置用户密码就行了🐶
|
 |
7
LiangBryan Jul 25, 2021
denyhosts
|
 |
8
yungo8 Jul 25, 2021 via Android
我刚刚在我的腾讯轻量服务器做了这个功能,首先 hosts.deny 拒绝所有 ssh 和 sftp,然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢?直接定时十分钟跑脚本分析 auth.log 日志,超过一定次数直接 iptables input drop
|
 |
9
Ariver Jul 25, 2021 via iPhone 2
iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
可以搜一下 |
 |
10
hallDrawnel Jul 25, 2021
直接关闭密码登录
|
 |
13
Osk Jul 25, 2021
可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.
另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码). |
 |
15
ZhiyuanLin Jul 25, 2021
不开放密码登录不就行了。
要更强点就配置 WireGuard,SSH 只开放内网登陆,登录时候必须 WireGuard+SSH 私钥。 |
|
16
yungo8 Jul 25, 2021 via Android
@iBugOne 主要一开始我搜到的解决办法是 hosts.deny,脚本往这文件里禁了一堆 ip 觉得不爽,就想到直接把国外的都禁了,但是 ip 库太大也不全,找到一个国内省份的 ip 库,就想只放开几个省的就行了,结果这几个省还是有人搞事情,就想着 iptables 来弄了。权当花了点时间了解了些东西
|
 |
17
ctro15547 Jul 25, 2021
fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。
|
 |
18
jim9606 Jul 25, 2021
我选择关掉密码登录,只用 pubkey 。
如果真有头铁爆破的,估计我的服务器已经被 D 到要关机了。 @Osk Desktop 默认没安装 ssh-server 吧?至于 Server,初始化总得用吧?或者用 cloud-init 做初始化? |
 |
20
wms Jul 26, 2021
换个端口
|
 |
21
ryd994 Jul 26, 2021 via Android
换端口+证书登录
换端口主要是排除一些低端脚本,省得心烦 |
 |
22
myqoo Jul 26, 2021
可以试试 Web 版的 port knocking: https://www.etherdream.com/port-knocking/
|
 |
23
chenjies Jul 26, 2021
借楼请问 IP 白名单是不是最小白的? 22 端口只允许指定的 IP 与一台阿里云 ECS 的 IP 登录。
|
 |
24
MarkLeeyun Jul 26, 2021
只允许公钥登录就好。
|
 |
25
liuxu Jul 26, 2021
果断强制 rsa 啊
|
|
26
yungo8 Jul 26, 2021 via Android
@Felix2Yu 不是,我用 hosts.deny 全部的,然后 allow 是三个省份的网段(只有这三个省份可以 ssh sftp ),iptables 是把这三个省份爆破的 ip 直接加进去,平均一天也没两个
|
 |
27
Hardrain Jul 27, 2021
PubkeyAuthentication yes
PasswordAuthentication no 让他们爆破去吧,除非你生成了一个 512 位的 RSA |
 |
28
huangmingyou Jul 27, 2021
都 2022 了,为啥还要用密码登陆 ssh
|
Select Language