V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlisaDestiny
V2EX  ›  信息安全

你们买的境外服务器每天会有上千次的异地 ssh 尝试登陆吗,怎么解决的

  •  
  •   AlisaDestiny · 2017-02-22 12:01:45 +08:00 · 8786 次点击
    这是一个创建于 2862 天前的主题,其中的信息可能已经有所发展或是发生改变。

    怎么配置能让服务器更安全呀或者有办法让 ssh 登陆失败次数超过 10 次的 ip 加入黑名单。

    第 1 条附言  ·  2017-02-22 15:55:28 +08:00
    感谢各位 V 友的回复。根据大家的回复我采取的简单有效的办法就是 换端口和禁止 root 登陆。因为会在不确定的电脑上登陆。所以用秘钥登陆不好使。
    @privil 给的脚本。这个先存着。日后可能会用的上。
    62 条回复    2017-02-23 10:50:22 +08:00
    hellojinjie
        1
    hellojinjie  
       2017-02-22 12:02:38 +08:00 via Android   ❤️ 1
    换端口就可以了啊
    LU35
        2
    LU35  
       2017-02-22 12:03:17 +08:00 via Android   ❤️ 1
    改常用 ssh 端口,关闭密码登录使用密钥。
    vibbow
        3
    vibbow  
       2017-02-22 12:03:30 +08:00 via Android   ❤️ 1
    换端口
    或者做防火墙规则,一个 ip 短期多次访问 ssh 端口,就加入黑名单。
    xxwar
        4
    xxwar  
       2017-02-22 12:09:56 +08:00
    fail2ban
    ProjectAmber
        5
    ProjectAmber  
       2017-02-22 12:10:53 +08:00 via iPhone   ❤️ 1
    禁止密码登录,使用私钥登录。
    防火墙(如 iptables )白名单。
    禁止 root 用户登录。
    更换 SSH 端口。
    jpuyy
        6
    jpuyy  
       2017-02-22 12:12:53 +08:00   ❤️ 2
    /etc/ssh/sshd_config 中修改

    MaxAuthTries

    restart sshd

    用公钥没啥问题,换端口 nmap 一扫也就出来了

    iptables 也只能用 ip 白名单之类的
    shiji
        7
    shiji  
       2017-02-22 12:14:53 +08:00   ❤️ 1
    就让他们试呗。 如果你用的是密码,并且试个几百万次就能试出来,你那真的要考虑换个长一点的密码了。不过还是建议用证书登录并且限制只允许证书登录。

    我的 3306 也是暴露在外网的。而且允许 root 远程登录。。已经好多年了,啥事没有, 我给 Mysql 启用了 SSL ,光知道密码是没用的。
    salmon5
        8
    salmon5  
       2017-02-22 12:21:15 +08:00   ❤️ 1
    换个端口就可以了。别折腾。
    hosiet
        9
    hosiet  
       2017-02-22 12:22:39 +08:00 via Android   ❤️ 1
    关闭密码登录,禁止 root 登录就够安全了,换端口加 fail2ban 之类的总感觉增加的复杂程度比得到的好处要大,得不偿失。
    abc123ccc
        10
    abc123ccc  
       2017-02-22 12:50:28 +08:00
    改端口 + wheel 组,试下
    xvx
        11
    xvx  
       2017-02-22 12:51:03 +08:00 via iPhone   ❤️ 1
    不管他。
    改端口,开防火墙,关闭密码登录,改用密钥登录。这些都搞了,还是发现一堆尝试 SSH 登录的。
    所以我选择眼不见,心不烦。
    privil
        12
    privil  
       2017-02-22 13:02:16 +08:00   ❤️ 1
    链接: https://pan.baidu.com/s/1hsE7ZUk 密码: 3t7h 借鉴别人脚本,自己改的,和你的需求一模一样,十次失败自动加黑命单, crontab 设置每两分钟运行一次就好了
    xzpjerry731
        13
    xzpjerry731  
       2017-02-22 13:05:03 +08:00
    北美 DO, 没禁密码登陆前某日试过上万次, 一查 ip 都是天朝的
    miyuki
        14
    miyuki  
       2017-02-22 13:05:59 +08:00 via Android
    fail2ban
    privil
        15
    privil  
       2017-02-22 13:06:14 +08:00
    @privil 黑名单,打错字了
    phrack
        16
    phrack  
       2017-02-22 13:06:58 +08:00 via Android   ❤️ 1
    我都是随意的,几十位长的密码,要试就试去吧
    Troevil
        17
    Troevil  
       2017-02-22 13:11:05 +08:00
    fail2ban
    zrj766
        18
    zrj766  
       2017-02-22 13:11:45 +08:00 via Android   ❤️ 1
    重要机子上了密钥和 fail2ban ,其他的字母数字符号组合,自己慢慢试吧→_→
    lyragosa
        19
    lyragosa  
       2017-02-22 13:12:31 +08:00   ❤️ 1
    fail2ban 啊, 1 小时内密码错 5 次 ban24 小时

    有本事慢慢爆破着玩呗。
    abclearner
        20
    abclearner  
       2017-02-22 13:35:47 +08:00   ❤️ 1
    之前 fail2ban 没设置好 一天也有几千次
    现在弄成 10min 内错 3 次 禁 3 天 一天也有几百次
    dudesun
        21
    dudesun  
       2017-02-22 13:48:49 +08:00
    不要用密码登陆,使用私钥登录
    AstroProfundis
        22
    AstroProfundis  
       2017-02-22 13:54:56 +08:00   ❤️ 1
    我基本上都是,禁用密码登录,有些换端口有些懒得搞就没换,然后装个 fail2ban 搞定,多数发行版上的 fail2ban 都是默认加了 ssh 的配置的,也可以自己再调整得更严
    isCyan
        23
    isCyan  
       2017-02-22 13:55:44 +08:00 via Android
    换什么端口, fail2ban 各种密码破解自动封禁方便得很
    GoBeyond
        24
    GoBeyond  
       2017-02-22 14:06:21 +08:00 via Android   ❤️ 1
    登就登呗,好像他们能登上去一样
    shalk
        25
    shalk  
       2017-02-22 14:06:27 +08:00   ❤️ 1
    禁止密码登录 差不多了
    WayneLin
        26
    WayneLin  
       2017-02-22 14:06:52 +08:00   ❤️ 1
    换端口,禁用 root ,私钥登录,基本楼上都说了,简单有效。
    wangcansun
        27
    wangcansun  
       2017-02-22 14:10:44 +08:00
    我是关闭密码登录,使用密钥的。。。本来每天也有很多攻击,后来就没了
    txydhr
        28
    txydhr  
       2017-02-22 14:10:49 +08:00 via iPad
    正常的
    liangch
        29
    liangch  
       2017-02-22 14:13:02 +08:00
    fail2ban + 1
    kenshin912
        30
    kenshin912  
       2017-02-22 14:13:23 +08:00
    Fail2ban 解决的 , 端口我懒得改了...
    另外我还禁止了 root 登录.
    RqPS6rhmP3Nyn3Tm
        31
    RqPS6rhmP3Nyn3Tm  
       2017-02-22 14:16:17 +08:00
    我用 GPG 智能卡登陆
    除非你把我给砍了拿走我的智能卡,否则基本上还是安全的
    AntonChen
        32
    AntonChen  
       2017-02-22 14:40:06 +08:00
    装个蜜罐玩
    lcorange
        33
    lcorange  
       2017-02-22 15:08:41 +08:00
    fail2ban
    禁了 root 和密码登录,只用密钥
    laydown
        34
    laydown  
       2017-02-22 15:47:47 +08:00
    密码登录开着,加一个两步验证就好。
    est
        35
    est  
       2017-02-22 15:53:34 +08:00
    port knocking 没人用?
    kevin8096
        36
    kevin8096  
       2017-02-22 16:04:37 +08:00
    写个脚本 加入 host.deny
    abirdcanfly
        37
    abirdcanfly  
       2017-02-22 16:54:53 +08:00
    吓的我立马把 ss 服务器改成 lastpass 生产的 20 位密码
    clino
        38
    clino  
       2017-02-22 16:59:10 +08:00
    @abirdcanfly ss 一样可以用 fail2ban 来禁,我就开启了这个
    avichen
        39
    avichen  
       2017-02-22 17:09:45 +08:00
    fail2ban+X
    bao3
        40
    bao3  
       2017-02-22 17:29:24 +08:00   ❤️ 1
    #39 楼有效, SSH 换端口没意义的,用软件一扫就能找到新端口了。用密码登录肯定不安全,除非复杂到 10 几位。
    sundong
        41
    sundong  
       2017-02-22 20:22:24 +08:00   ❤️ 1
    开启 iptables 只允许某些 ip 访问这台主机的 22 端口
    iptables -A INPUT -s *.*.*.* , *.*.*.* -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j DROP
    lovejoy
        42
    lovejoy  
       2017-02-22 20:26:05 +08:00
    我一小破路由器放公网上都有人来探测,尤其是阿里云的 IP
    fhefh
        43
    fhefh  
       2017-02-22 20:26:47 +08:00
    安装了 fail2ban
    ETiV
        44
    ETiV  
       2017-02-22 20:37:45 +08:00   ❤️ 1
    我写了个程序监听在 22 上,有人连上来就吐 fuck you 字符串回去
    laiyingdong
        45
    laiyingdong  
       2017-02-22 20:51:29 +08:00
    被扫了?有时候 IP 地址不干净被人攻击那更惨
    ixinshang
        46
    ixinshang  
       2017-02-22 21:22:50 +08:00 via Android
    @ETiV 哈哈 求实际图
    cxbig
        47
    cxbig  
       2017-02-22 21:26:28 +08:00   ❤️ 1
    1. 换个端口
    2. 禁 root 登录
    3. 禁密码登录,只允许 ssh-key
    4. 安装 fail2ban
    Pangdouya
        48
    Pangdouya  
       2017-02-22 21:27:59 +08:00
    密钥登陆+fail2ban
    wenymedia
        49
    wenymedia  
       2017-02-22 21:44:19 +08:00 via Android
    实在不放心就搞个可靠公网 IP 的服务器 做跳板机
    akira
        50
    akira  
       2017-02-22 21:49:59 +08:00   ❤️ 1
    @bao3 换端口肯定是不够的,但是已经足够排除掉 90%以上的扫描软件了。
    完善的话,就按照 47l 的,再把防火墙配置好
    ryd994
        51
    ryd994  
       2017-02-23 02:48:31 +08:00
    @BXIA 让我们用 5 块钱扳手解决问题

    毕竟很多智能卡输错密码会自毁
    lan894734188
        52
    lan894734188  
       2017-02-23 03:05:22 +08:00 via Android
    ssh only 监听内网 ipsec 大内网
    RqPS6rhmP3Nyn3Tm
        53
    RqPS6rhmP3Nyn3Tm  
       2017-02-23 03:11:20 +08:00 via iPhone
    @ryd994 用实物而非密码的一个优点就是可以直接冲进厕所,然后我也没办法解了
    cevincheung
        54
    cevincheung  
       2017-02-23 04:26:34 +08:00
    fail2ban 换用 key 登录
    Keyes
        55
    Keyes  
       2017-02-23 10:02:45 +08:00   ❤️ 1
    yum install denyhosts
    systemctl enable denyhosts
    systemctl start denyhosts

    登录换证书

    以上,安心放假
    Keyes
        56
    Keyes  
       2017-02-23 10:03:49 +08:00   ❤️ 1
    不确定的电脑也没问题,用 agent forwarding ,密钥放在另一个机器上
    chuhemiao
        57
    chuhemiao  
       2017-02-23 10:05:37 +08:00
    怎么知道他请求了那么多次的?
    AlisaDestiny
        58
    AlisaDestiny  
    OP
       2017-02-23 10:36:31 +08:00
    @laydown good idea.

    @abirdcanfly
    @bao3 我的密码就是 V 站的域名。有十几位了吧,谁猜得到。哈哈。

    @sundong 对于固定 Ip 是可行的。 IP 不固定就 GG 。

    @ETiV 兄弟。这样固然解恨,但是如果黑客脾气不好会出乱子的。


    @Keyes 这个软件看起来不错。而且我正好也会写 Python 。
    AlisaDestiny
        59
    AlisaDestiny  
    OP
       2017-02-23 10:37:42 +08:00
    @chuhemiao cat /var/log/secure |grep Failed
    MrXiong
        60
    MrXiong  
       2017-02-23 10:45:50 +08:00
    centos 安装 fail2ban 按照教程,查看日志发现 Jail ssh-iptables is not a JournalFilter instance ,没有拦截日志怎么破
    chuhemiao
        61
    chuhemiao  
       2017-02-23 10:46:19 +08:00
    @AlisaDestiny 我擦,我发现我的更多 233333 ,阿里云也被黑..
    nanjishidu
        62
    nanjishidu  
       2017-02-23 10:50:22 +08:00
    @ETiV 好机智
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5823 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 01:49 · PVG 09:49 · LAX 17:49 · JFK 20:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.