V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  DevOps

一些增强 SSH 安全性的技巧

  •  
  •   Livid · 2015-08-08 00:05:41 +08:00 · 8698 次点击
    这是一个创建于 3397 天前的主题,其中的信息可能已经有所发展或是发生改变。
    29 条回复    2015-09-11 15:32:07 +08:00
    msg7086
        1
    msg7086  
       2015-08-08 03:15:25 +08:00
    其实主要就是证书登录+banIP
    hbkdsm
        2
    hbkdsm  
       2015-08-08 06:25:50 +08:00 via Android
    anubiskong
        3
    anubiskong  
       2015-08-08 07:26:21 +08:00
    我是这样做的:
    改ssh端口, 禁ping, 只保留必要端口其他的封, 不允许用户名密码登陆只能用秘钥登陆
    求高手给意见
    imnpc
        4
    imnpc  
       2015-08-08 07:37:10 +08:00
    我主要使用证书登录和 google的双因素验证
    dommyet
        5
    dommyet  
       2015-08-08 07:38:46 +08:00 via Android
    端口没改 root只允许证书登录 但是因为那个机器的非root用户有用密码登录的需求 来碰密码的以为root也是用密码的 每天都有来自一两个IP的几万次碰撞 后来就用fail2ban直接封禁24小时
    clino
        6
    clino  
       2015-08-08 07:54:29 +08:00
    @dommyet 改ssh端口应该会没什么会来攻击了
    以前用denyhosts太方便了,完全不用配置,现在没这个用真不爽
    exuxu
        7
    exuxu  
       2015-08-08 08:10:21 +08:00
    如果是固定IP的话可以限制IP登陆
    invite
        8
    invite  
       2015-08-08 09:06:11 +08:00
    该端口,只是减少攻击可能性,针对全端口扫描,是没意义的。
    skyworker
        9
    skyworker  
       2015-08-08 09:26:13 +08:00
    @invite 改端口能屏蔽大部分小白的攻击。真的要对你的IP进行全端口扫描的话,那就是你已经被盯上了
    xiaket
        10
    xiaket  
       2015-08-08 09:42:09 +08:00
    一个另外会被忽视的问题是, agent forward一定不要默认打开.
    wbsdty331
        11
    wbsdty331  
       2015-08-08 09:53:47 +08:00
    关闭root登录,只用证书 限制IP
    402645707
        12
    402645707  
       2015-08-08 09:56:10 +08:00 via Android
    @skyworker 表示我的一堆ss日志里天天出现同一个加拿大ip在试密码
    shadowsocks监听22端口难道扫描器识别不出来吗
    ooxxcc
        13
    ooxxcc  
       2015-08-08 10:17:52 +08:00
    证书登录,两步验证,fail2ban都上了。。
    fuxkcsdn
        14
    fuxkcsdn  
       2015-08-08 10:32:04 +08:00 via iPhone
    @imnpc
    @ooxxcc
    求细节
    我以前配置过证书加二步认证,但总是会要求输入密码,而密码怎么输也不对,必须把允许密码登陆开启才行
    就变成又允许证书登陆又允许密码登陆加二步认证
    alexyangjie
        15
    alexyangjie  
       2015-08-08 10:33:26 +08:00
    证书验证+二步验证+换端口+Fail2ban+限定账户登录
    wclebb
        16
    wclebb  
       2015-08-08 10:36:01 +08:00
    还以为是管理员
    Mark24
        17
    Mark24  
       2015-08-08 11:15:12 +08:00 via Android
    napsterwu
        18
    napsterwu  
       2015-08-08 12:11:48 +08:00
    关密码+私钥登陆是必须的

    不过我换端口还是不方便,我把fail2ban封禁阈值设到最小,封禁时间设到最大,反正也没有必要解封,效果还可以。

    rainy3636
        19
    rainy3636  
       2015-08-08 13:14:12 +08:00
    PermitRootLogin without-password
    ChallengeResponseAuthentication no
    PasswordAuthentication no
    UsePAM no
    AVC
        20
    AVC  
       2015-08-08 15:33:42 +08:00 via Android
    fail2ban最大尝试2次,失败ban 1000000000秒all ports。反正都是用xshell或者juicessh密码都是保存不会出错。
    crazycen
        21
    crazycen  
       2015-08-08 15:40:03 +08:00
    关闭密码登录,使用证书登录才是出路!
    ychongsaytc
        22
    ychongsaytc  
       2015-08-08 21:25:48 +08:00
    改端口 <<<< IP Scanner / ScanPort
    gdtv
        23
    gdtv  
       2015-08-08 21:53:22 +08:00
    我曾经用证书登录,后来丢失证书了,然后就没有然后了
    sobigfish
        24
    sobigfish  
       2015-08-09 10:53:17 +08:00
    端口必须改啊,不是安不安全的事,一天被扫很烦啊,那么多log
    加2fa : TOTP / FIDO U2F也是很爽的

    rsa和dsa 哪个安全点 ? 话说github已经建议4096的rsa了
    ooxxcc
        25
    ooxxcc  
       2015-08-09 11:23:11 +08:00   ❤️ 1
    fuxkcsdn
        26
    fuxkcsdn  
       2015-08-09 15:59:01 +08:00
    @ooxxcc
    感谢
    之前配置的时候也是参考这页面的,估计当时是没留意 openssh 版本问题
    vibbow
        27
    vibbow  
       2015-08-10 02:12:50 +08:00
    @sobigfish 个人用的是 ECDSA/secp256k1
    vibbow
        28
    vibbow  
       2015-08-10 09:28:42 +08:00
    https://pic.vsean.net/di/T87C/CMAp6xRVEAAl3pm.png
    用Hipchat + PHP做的SSH登录通知
    likuku
        29
    likuku  
       2015-09-11 15:32:07 +08:00
    只改端口就以为安全.....土羊,土森破
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1053 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:14 · PVG 07:14 · LAX 15:14 · JFK 18:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.