V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
asshell
V2EX  ›  问与答

如何防止被暴力破解 ssh

  •  
  •   asshell · 2021-04-22 16:08:23 +08:00 · 3082 次点击
    这是一个创建于 1071 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器安装的是 centos,运行 wp 博客,因为最近要考试没有时间管理发现一直被破解,现在已经累加起来有 1000 次了.

    34 条回复    2021-04-23 20:29:08 +08:00
    wellsc
        1
    wellsc  
       2021-04-22 16:09:14 +08:00
    端口改一下?
    hxndg
        2
    hxndg  
       2021-04-22 16:10:40 +08:00
    1 换端口
    2 限制 SRC IP
    3 增加密码强度
    yuanmomo
        3
    yuanmomo  
       2021-04-22 16:18:12 +08:00 via iPhone
    关闭密码验证,用公私钥登录(用 ecc )。

    更换 ssh 端口。

    对外只开放 ssh 和 80,443 端口。

    wp 看能不能用 docker 容器的方式运行(感觉不是必选)。
    ch2
        4
    ch2  
       2021-04-22 16:18:33 +08:00 via iPhone
    ssh 里开启限制一个 ip 最多只能尝试的次数
    putaozhenhaochi
        5
    putaozhenhaochi  
       2021-04-22 16:18:43 +08:00 via Android
    denyhost 限制下。
    polaa
        6
    polaa  
       2021-04-22 16:24:46 +08:00   ❤️ 2
    fail2ban
    whileFalse
        7
    whileFalse  
       2021-04-22 16:24:53 +08:00
    禁用密码登录 用 key
    billytom
        8
    billytom  
       2021-04-22 16:34:53 +08:00
    用 1password 之类的软件先生成一个 24 位的密码,然后新建一个普通用户,用户名不少于 10 位,再建立一个 24 位的密码给这个用户,然后禁止 root 用户登陆。22 端口改端口,没必要的服务不要开,特别是什么 ftp 之类的。基本万无一失了
    Tumblr
        9
    Tumblr  
       2021-04-22 16:38:22 +08:00
    换端口
    开防火墙
    关密码用证书

    三部曲完全够了。
    bugDev
        10
    bugDev  
       2021-04-22 16:39:35 +08:00 via iPhone
    ssh 两步验证
    ReferenceE
        11
    ReferenceE  
       2021-04-22 16:41:51 +08:00 via Android
    关密码验证
    换端口,记得改 SELinux
    swiftg
        12
    swiftg  
       2021-04-22 16:47:50 +08:00
    办法很多,最基础的改高位端口+fail2ban
    中级的,证书登陆,port knocking 等
    高级的,完全关闭入站端口,通过隧道等方式进内网再连接
    ytmsdy
        13
    ytmsdy  
       2021-04-22 17:32:10 +08:00
    换端口,关密码用证书。
    funbox
        14
    funbox  
       2021-04-22 17:49:45 +08:00
    denyhost~~
    fy1993
        15
    fy1993  
       2021-04-22 17:52:28 +08:00
    换端口,22518
    dier
        16
    dier  
       2021-04-22 17:55:56 +08:00
    换端口 换密钥 都只降低被暴或被登录的几率,想防止,那我就推荐端口用完即关。这样别人也就不会扫描到端口,自然就不会尝试暴力破解
    dingwen07
        17
    dingwen07  
       2021-04-22 18:05:54 +08:00 via iPhone
    关闭密码,是用公钥验证
    一定要密码则设置两步验证
    psirnull
        18
    psirnull  
       2021-04-22 18:20:37 +08:00
    关闭 sshd
    zpfhbyx
        19
    zpfhbyx  
       2021-04-22 18:24:42 +08:00
    😂 开个两步验证啊,自己常用的电脑加公钥。
    ronman
        20
    ronman  
       2021-04-22 18:28:50 +08:00
    我的方法是:
    1.防火墙+换端口
    2.禁 root,禁密码,用密钥
    3.fail2ban
    三板斧一起使
    germain
        21
    germain  
       2021-04-22 19:26:36 +08:00 via Android
    老生常谈

    key 不 Key 无所谓

    1. passwd -l -d root
    2, fail2ban retry 2 bantime 9999999999
    JensenQian
        22
    JensenQian  
       2021-04-22 20:03:36 +08:00 via Android
    提供另外一个思路,不用 wordpress,用 hexo 之类静态博客放 github 或 cloudflare 刚出的 pages 或者别的哪里吧
    asche910
        23
    asche910  
       2021-04-22 20:28:20 +08:00
    密码复杂点,随它呗,反正又破不了。
    CEBBCAT
        24
    CEBBCAT  
       2021-04-22 20:42:01 +08:00
    Google 一下,这种简单问题没必要专门发帖问
    tin3w5
        25
    tin3w5  
       2021-04-22 20:53:57 +08:00 via iPhone
    shell/python 脚本读取 /var/log/secure 中的错误,使用 iptables+ipset,配合 crontab 对非法 IP 进行屏蔽。

    强制 ssh 私钥登录,有必要(比如已经确定被盯上了)再修改端口。
    yyyb
        26
    yyyb  
       2021-04-23 02:34:23 +08:00
    ip 白名单,其他都扯淡,想说动态 ip 没办法白名单的先动动脑子
    azhuge233
        27
    azhuge233  
       2021-04-23 02:47:18 +08:00 via iPhone
    换端口,endlessh 蜜罐暴破
    domodomo
        28
    domodomo  
       2021-04-23 07:25:29 +08:00
    密码登陆关了啊
    私钥登陆安全又方便
    nicocho
        29
    nicocho  
       2021-04-23 09:29:29 +08:00
    前几天服务器被黑去挖矿,CPU 都给我干到 100%,几天流量跑了 700G,淦!!!

    找客服,方案 > 公私密钥+端口+禁密码登陆

    跑了几天,目前还好。
    jason1121
        30
    jason1121  
       2021-04-23 10:09:45 +08:00
    @tin3w5 有现成的工具 fail2ban,就是你说的这种方案,不用自己写脚本。
    tin3w5
        31
    tin3w5  
       2021-04-23 11:39:39 +08:00 via iPhone
    @jason1121 软件包还是越少越好,自己写的脚本可以有针对性的处理。
    JamesR
        32
    JamesR  
       2021-04-23 13:53:16 +08:00
    V 站日经贴,禁止密码登录,直接证书登录就好。
    loginv2
        33
    loginv2  
       2021-04-23 14:36:50 +08:00
    云平台的服务器的话可以 关闭端口,每次需要登录的时候去云平台上临时开端口
    lindas
        34
    lindas  
       2021-04-23 20:29:08 +08:00
    我是改端口+密钥登陆+禁止 root 登录
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5702 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:28 · PVG 14:28 · LAX 23:28 · JFK 02:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.