首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  信息安全

公有云上没有公网 ip 的机器,有必要关闭 22 端口,改用其他端口么?

  •  
  •   meowoo · 364 天前 · 1566 次点击
    这是一个创建于 364 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近跟朋友讨论这个问题,机器只对一台部署机开了设置安全组规则可用 22 连接,拷贝文件远程重启,其他服务通过 nginx 代理。

    这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?

    请各位老哥指教一下。
    11 回复  |  直到 2018-12-16 20:10:22 +08:00
        1
    avrillavigne   364 天前
    没明白,“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口?

    没有公网的机器不会被扫描到,要么堡垒机攻陷入侵内网,或设置了内网转发。有人的地方小心内部攻击,你自己的玩具就随便~

    我用到的安全设置
    1、改端口
    避开大部分脚本扫描
    2、使用 SSH 公钥登录
    云厂商都可以一键创建 SSH 公钥和绑定实例,安全性大大提高。
    3、使用 fail2ban
    设置一分钟内失败 5 次封禁 IP 24 小时。
        2
    Hardrain   364 天前
    SSH 建议用公钥,并完全停用键盘交互(密码)登录。

    其他的,比如改端口、port knocking 都不建议。
    因为这些只是将你的 SSH 服务放进一个迷宫,而不是加上一把足够坚固的锁。
        3
    CallMeReznov   364 天前
    别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.
        4
    meowoo   364 天前
    @avrillavigne 是的,就指定了某一台主机可以用 22 端口连接,其他都不行,而这台主机也是内网中的,没有外部访问途径。
        5
    meowoo   364 天前
    @Hardrain 是的,我也是这样考虑的,接手过来的时候都是用密码存储的,纯内网的,之前估计没考虑那么多,现在是涉及到公网了,所以就麻烦了。
        6
    meowoo   364 天前
    @CallMeReznov 我自己的公网机器是瞬间爆炸,我回头看看那几台内网的,我的天。
        7
    mattx   364 天前
    1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
    2 使用 SSH 秘钥登录
    3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口

    以上的要配置起来, 也就 10 分钟的事情, 挺快的.
        8
    meowoo   364 天前
    @mattx 我指的是内网的主机,这个 gfw 应该影响不到的把? 有几千台主机,感觉该写个脚本批量设置密钥了
        9
    mattx   364 天前
    @meowoo #8 内网的话感觉没必要, 设置秘钥确实可以做个脚本来处理下.
        10
    flynaj   364 天前 via Android
    改端口防那些机器人无脑扫描
        11
    meowoo   364 天前
    @flynaj 主要是内网机器,应该不会被扫描啊
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1193 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 27ms · UTC 23:37 · PVG 07:37 · LAX 15:37 · JFK 18:37
    ♥ Do have faith in what you're doing.