这是一个创建于 3275 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
 |
1
aiguozhedaodan 2015-05-14 20:03:33 +08:00 via Android
改端口,换密钥登录
然后爱扫就扫无视即可 |
 |
2
sanddudu 2015-05-14 20:04:04 +08:00
关掉密码登录,用私钥登录
改掉默认端口 禁用 root |
 |
3
foreverlucas OP @aiguozhedaodan 改了端口连接失败
上次就是,不得不买了iKVM的额外IP…… |
|
4
foreverlucas OP @sanddudu 我是个经常丢pem的人
|
|
5
foreverlucas OP 现在就想求一个能用的防火墙
|
 |
6
lyragosa 2015-05-14 20:05:12 +08:00
CentOS7 没iptables了?
|
|
7
foreverlucas OP @lyragosa 对啊。改firewalld
|
 |
8
KexyBiscuit 2015-05-14 20:06:26 +08:00 via Android  1
@foreverlucas ('▽'〃)换宽带,我深刻明白了国际线路再好,国内差也没得救的道理。
公私钥是正解,Skype 上说过啦~关掉密码登录后就不需要什么 deny 或者 ban 了。 |
 |
9
wy315700 2015-05-14 20:08:00 +08:00
关掉密码登录
|
|
10
foreverlucas OP @KexyBiscuit 这。。是。。国内服务器。。。。
|
 |
11
lhbc 2015-05-14 20:10:11 +08:00
找不到不换端口的理由
我所有服务器的端口都是不同的 |
|
12
foreverlucas OP @lhbc 是在/etc/ssh/sshd那个配置文件么?
我改了,重启服务,ssh上不去了 |
|
13
aiguozhedaodan 2015-05-14 20:12:16 +08:00 via Android
@foreverlucas 是不是对方端口没给你开全啊。。
|
|
14
foreverlucas OP @aiguozhedaodan 电信公网IP 除了80(备案才给开)都开
|
 |
15
kslr 2015-05-14 20:18:39 +08:00 via Android
@foreverlucas 怎么个失败法?
|
 |
16
bobopu 2015-05-14 20:24:19 +08:00
1.改端口
2.新建复杂用户名+复杂密码 3.禁止root登录 4.设置每ip每60秒扫描超过4个端口拉黑12小时。 5.设置输错远程密码拉黑ip12小时。 |
 |
17
facat 2015-05-14 20:31:45 +08:00
用强密码,换端口,有这两样应该很难被爆了吧
|
 |
18
rolay 2015-05-14 20:32:59 +08:00 1
服务器装个shadowsocks,ssh端口关闭.然后xshell走ss代理连接好酸爽.
|
 |
19
brando 2015-05-14 20:33:56 +08:00
只允许特定IP登陆。
|
 |
20
neoblackcap 2015-05-14 20:42:33 +08:00
为什么还要用密码登陆啊?密码登陆并不安全,我都是公/私钥登陆并禁止密码登陆的。
还有的就是记得改端口。 |
 |
21
GeekTest 2015-05-14 20:44:01 +08:00 via Android
直接关ssh233333
|
 |
22
yylzcom 2015-05-14 20:53:56 +08:00 via Android
换个用户名换个端口他能猜到?
不行就证书登录呗 |
 |
23
bellchu 2015-05-14 20:58:01 +08:00
passwd root -d
|
 |
24
pangtianyu 2015-05-14 21:17:42 +08:00
为什么不用 firewalld 啊 不是蛮好的嘛
|
 |
25
keke88168 2015-05-14 21:18:07 +08:00
我就说一点:centos7有iptables的……
|
 |
26
hotsnow 2015-05-14 21:18:28 +08:00
debian8 都默认禁止 root 登录了
|
 |
27
xuhaoyangx 2015-05-14 21:29:00 +08:00
= =用自带防火墙做个检测特定大小的ping包,检测到了打开ssh用的端口一段时间。
|
 |
28
coolcfan 2015-05-14 21:30:51 +08:00
换个端口先
|
|
29
coolcfan 2015-05-14 21:34:30 +08:00
@foreverlucas 你 firewalld 是不是开着……如果开着记得把新端口加进去,用 firewall-cmd 。
firewall-cmd --permanent --add-port=xxx/tcp 差不多是这种格式的样子…… |
 |
30
love 2015-05-14 21:51:33 +08:00
把SSH用强密码或禁密码用key登录就根本不用管了
|
 |
31
O21 2015-05-14 21:51:46 +08:00 via Smartisan T1
换个端口可以解决你很大的困扰
|
 |
32
maxbon 2015-05-14 22:04:26 +08:00
1、hosts限制
2、换端口 3、用key登录 |
 |
33
cnhongwei 2015-05-14 22:12:46 +08:00
我也是使用centos 7,通过epel安装的fail2ban,其中带了firwallcmd的配置,可以直接使用。
|
 |
34
stanhou 2015-05-14 22:27:57 +08:00
我有个日本的VPS专门用来做VPN,然后我的所有服务器都只允许这个这个VPN的IP连接,感觉比较省心。
|
 |
35
fuge 2015-05-14 22:31:50 +08:00 via iPhone
没有iptables就不行了,firewall不是要比iptables先进?
|
 |
36
skyworker 2015-05-14 22:33:30 +08:00
端口换成22222,能少了99%的攻击。
要是还能被查到第2万2千个端口,然后攻击你,那你小心了,被人盯上了。 |
 |
37
echo1937 2015-05-14 22:34:35 +08:00
@foreverlucas CentOS 7有iptables,也同时有firewalld
|
 |
39
kxmp 2015-05-14 23:19:42 +08:00
iptables -I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 10 -j REJECT
|
 |
40
mazyi 2015-05-14 23:37:56 +08:00
iptables应该不错
|
 |
41
chenshaoju 2015-05-14 23:39:29 +08:00
用UDP敲门……
|
 |
42
octopus_new 2015-05-14 23:59:46 +08:00
firewall-cmd --zone=public --add-port=xxx/tcp --permanent
Firewalld真的是好用得不得了,谁用谁知道:) |
 |
43
9hills 2015-05-15 00:10:19 +08:00 via iPad
重复解决不存在的问题。用密钥一了百了的事情
|
 |
44
lightening 2015-05-15 00:20:53 +08:00
放在互联网上的机器用秘钥登录是常识。
|
 |
45
LazyZhu 2015-05-15 00:22:27 +08:00 1
How to Secure SSH with Google Authenticator’s Two-Factor Authentication ...
http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/ https://www.linux.com/community/blogs/133-general-linux/783135-securing-ssh-with-two-factor-authentication-using-google-authenticator |
 |
46
zhengkai 2015-05-15 00:33:35 +08:00 via Android
禁止密码登录就完了,其他操作都是在折腾自己
|
 |
47
dzxx36gyy 2015-05-15 00:54:21 +08:00
1.换端口
2.换密钥登陆,关闭密码登陆 3.安装fail2ban 好了,你不用纠结了 |
 |
48
lingo233 2015-05-15 02:12:07 +08:00
我已经把端口改为了2333333
|
 |
49
lucifer4he 2015-05-15 09:52:26 +08:00
我都是直接添加秘钥
|
|
50
lucifer4he 2015-05-15 09:52:50 +08:00
然后禁用密码登陆
问题解决 |
 |
51
xiahai4shui 2015-05-15 10:32:51 +08:00 via iPhone
两步验证
|
 |
52
likuku 2015-05-15 11:27:23 +08:00
上次装 ubuntu server 时,发现默认会装这个:
sshguard 查到相关如下: Sshguard - Gentoo Wiki : https://wiki.gentoo.org/wiki/Sshguard/zh-cn 「sshguard 是一种入侵防御系统。 sshguard 解析服务器日志,检测恶意行为,然后通过防火墙规则禁止恶意用户登录。 sshguard 是用 C 写的,因此不需要额外的解析器。」 |
|
53
likuku 2015-05-15 11:27:59 +08:00
当然,禁止 password auth,仅许可 密钥认证是王道。
|
 |
54
uuair 2015-05-15 12:05:41 +08:00
@foreverlucas 第一,firewall也是防火墙啊。。第二,如果怕ssh攻击,你可以改成不允许密码登录,只能用key的方式,还可以换ssh的端口。
|
 |
55
quix 2015-05-15 12:07:54 +08:00
这年头 ssh 还有敢用密码登陆的啊...
|
 |
56
bingx86 2015-05-15 12:13:13 +08:00
还是觉得应该禁用用户密码 SSH 登录
|
 |
57
timothyye 2015-05-15 13:53:56 +08:00
禁止密码登录,改用证书,整个世界就清洁了
|
 |
58
moliliang 2015-05-15 16:20:26 +08:00
对啊,大家都说了, 禁止密码登录,改用sshkey密钥登录就好啦。。。
|
 |
59
wuyadong 2015-05-15 18:25:30 +08:00
换端口,禁root,基本就够了。
|
 |
60
napsterwu 2015-05-18 01:03:13 +08:00
|
Select Language