V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
notgood
V2EX  ›  问与答

VPS 已经启用私匙登陆,还需要改默认端口吗?

  •  
  •   notgood · 2018-11-02 08:46:52 +08:00 via iPhone · 3953 次点击
    这是一个创建于 2216 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2018-11-02 12:49:05 +08:00
    上面放了两个 Docker 容器。
    32 条回复    2018-11-02 18:41:29 +08:00
    notgood
        1
    notgood  
    OP
       2018-11-02 08:49:50 +08:00 via iPhone
    主要是担心端口一直被扫会降低电脑性能吗?启用私匙应该不会被爆破吧。
    justfindu
        2
    justfindu  
       2018-11-02 08:50:21 +08:00   ❤️ 2
    安全操作不嫌少
    likuku
        3
    likuku  
       2018-11-02 08:55:50 +08:00 via iPhone
    @notgood 还有其他对外开放的端口或服务么?这些都可能被远程爆掉。
    kernel
        4
    kernel  
       2018-11-02 09:05:45 +08:00 via Android
    不用改。即使有这种大杀器也不会用在你的小鸡上。
    7654
        5
    7654  
       2018-11-02 09:07:30 +08:00
    改一改 1 秒的事
    22 一直在爆破很好吗
    BOYPT
        6
    BOYPT  
       2018-11-02 09:11:17 +08:00
    改一下节省爆破日志记录
    lestat
        7
    lestat  
       2018-11-02 09:17:02 +08:00 via Android
    逗比根据地一键脚本了解一下
    zpf124
        8
    zpf124  
       2018-11-02 09:56:21 +08:00
    21 22 3389 除了准备钓鱼,否则还是不要开的好。 每分每秒 n 波扫描脚本。 尤其是国内的云平台上。

    国内闲得无聊的买个 vps 搞事情的脚本 boy 非常多。
    notgood
        9
    notgood  
    OP
       2018-11-02 10:01:43 +08:00 via iPhone
    @likuku 上面就放了两个容器( 55 和 WP)
    NB40B938mff85mtq
        10
    NB40B938mff85mtq  
       2018-11-02 10:02:47 +08:00
    我防火墙都关了~~~~
    likuku
        11
    likuku  
       2018-11-02 10:24:04 +08:00
    @Gempty 关掉防火墙?哪天新装一个服务,默认开了一些端口,又没啥身份验证 /默认太弱,
    自己一忙又忘,那可能也就因此挂了。案例也蛮多了。

    白名单式防火期还是很有必要(属于最佳实践内容)
    dot2017
        12
    dot2017  
       2018-11-02 10:28:43 +08:00
    我宁愿改端口也不用密钥,在外面不方便 =。=
    notgood
        13
    notgood  
    OP
       2018-11-02 10:47:40 +08:00 via iPhone
    @likuku V 友好,我在 DO 上放了两个容器( 55 和 WP),该如何做安全加固? Ubuntu16 默认没有防火墙
    PulpFunction
        14
    PulpFunction  
       2018-11-02 11:20:58 +08:00
    @notgood 那就安装那个三个英文字母的防火墙啊
    jasonyang9
        15
    jasonyang9  
       2018-11-02 11:24:52 +08:00
    就喜欢用`lastb`看那些变着花样猜密码的豆 B
    jeffsun
        16
    jeffsun  
       2018-11-02 11:25:54 +08:00
    把 ssh 密码登陆关了+该端口
    NB40B938mff85mtq
        17
    NB40B938mff85mtq  
       2018-11-02 11:27:46 +08:00
    @likuku 之前是全 drop,只留一个端口。。。。
    iceheart
        18
    iceheart  
       2018-11-02 11:47:27 +08:00 via Android
    让 ssh 只在 127.0.0.1 上 listen
    用 kcptun 举例
    1.server 端 server_linux_amd64 -l :45678 -t 127.0.0.1:22 --key yourpassword --crypt aes-192
    2.本地(我用个 openwrt 的路由举例) client_linux_mipsle -l :2022 -r serverip:45678 --key yourpassword --crypt-192
    3.测试一下 ssh root@路由器 ip -p 2022
    4.服务器将 步骤 1 的命令加入 开机启动。
    5.修改服务器的 sshd,改为 listen 127.0.0.1
    mario85
        19
    mario85  
       2018-11-02 11:54:55 +08:00 via iPhone
    听说有些工具会偷你的 key
    likuku
        20
    likuku  
       2018-11-02 12:08:40 +08:00
    @notgood DO 本身自带有平台级别防火墙么?#没用过 DO; aws 和 vultr 都是有的。
    优先使用平台的防火墙,好处很多,至少不用担心“把自己锁在门外”。

    白名单是基本的,默认全封锁,明确用那个,就开那个,遵循 “最低授权原则”。
    malagebidi
        21
    malagebidi  
       2018-11-02 12:20:52 +08:00 via Android
    Fail2ban 试一试
    notgood
        22
    notgood  
    OP
       2018-11-02 12:49:58 +08:00 via iPhone
    notgood
        23
    notgood  
    OP
       2018-11-02 12:51:34 +08:00 via iPhone
    @malagebidi 请问上面放了两个 Docker 容器(55 和 WP),fail2ban 该如何添加规则?
    liuxyon
        24
    liuxyon  
       2018-11-02 13:03:11 +08:00
    发现国内人不少人去 hack, 除了用 key, 还直接限制 ip 范围,只能自己 ip 登陆。
    findex
        25
    findex  
       2018-11-02 13:08:36 +08:00
    @liuxyon 总结一下,就是 iptables 设定,key 登录,root 密码禁止。
    fail2ban 有不错的功能。一直有用(配置比较花时间和经历,看你需求)。ban 的话直接 ban IP。第一次 30 分钟,第二次 2 个小时。第三次 1 天这样的。。有钱的公司或者老爷直接上 x86 防火墙。可以用内网软路由类的防火墙,或者机房的实体硬件防火墙。挡挡 script kid 应该问题不大
    malagebidi
        26
    malagebidi  
       2018-11-02 14:32:35 +08:00
    @notgood fail2ban 安装后默认只针对 ssh 端口的防范,按需要可以把其他的服务都配置上比如 nginx、apache,ban 的规则也可以在配置文件中调整。55 不知道是什么,wp 的话我用了一个 Wordfence 插件
    akira
        27
    akira  
       2018-11-02 16:31:35 +08:00
    服务器只有相对安全
    上面的东西不重要,你想怎么偷懒都行
    上面的东西很重要,你怎么努力做都不够
    F00J10H00
        28
    F00J10H00  
       2018-11-02 17:13:49 +08:00
    @lestat 网站挂了
    lestat
        29
    lestat  
       2018-11-02 17:24:53 +08:00 via Android
    @F00J10H00 科学上网后访问
    passerbytiny
        30
    passerbytiny  
       2018-11-02 17:37:16 +08:00
    @likuku #20 其它的不知道,但是 vultr 的防火墙是个坑,vultr 防火墙跟 vps 自身的 firewall-d 防火墙是完全独立的,改一次端口要改两个防火墙,我是直接把 vultr 防火墙关了。
    likuku
        31
    likuku  
       2018-11-02 18:27:58 +08:00   ❤️ 1
    @passerbytiny 优先使用平台的防火墙,好处很多,至少不用担心“把自己锁在门外”。
    这也是 aws 官方教程和入门课程给的最佳实践建议,相比 os 自带 防火墙,使用更方便,
    此外在管理很多实例时,即方便策略套用,也便于通过平台 SDK/CLI 来自动化配置。
    wjfz
        32
    wjfz  
       2018-11-02 18:41:29 +08:00
    总觉得这个标题怪怪的。

    哦,lz 把私钥叫私匙😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3625 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:20 · PVG 12:20 · LAX 20:20 · JFK 23:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.