 |
1
wxw752 14 天前
不用 22 端口,改成高位的。开放五年了,密码 123456 没遇到问题
|
 |
3
xliao 14 天前  2
改成禁止口令登陆只允许密钥登陆更安全
|
 |
4
EvanQu 14 天前
密钥登录 +fail2ban
|
 |
5
bestie 14 天前 1
用 vpn 或者 zerotier/tailscale 之类的先回家,然后再内网 ssh 稳妥的多。
|
 |
6
yelog 14 天前
不用 22, 换成自定义端口, 可以避免绝大部分的问题.
经常攻击的朋友都知道, 比如发现了 ssh 某个版本的 bug, 写个脚本进行如下流程 1. 拿到上海浦东的所有 IP 段 2. 然后扫描每个 IP 的 22 端口是否是通的 3. 如果端口是通的, 就开始利用漏洞进行攻击 4. 攻击进去后, 设置后门, 并添加到肉鸡队列 5. 扫描完成后, 换别的 IP 段继续 |
 |
7
guanhui07 14 天前
不用 22 换其他端口
|
 |
9
SakuraYuki 14 天前
建议套一层 vpn/ss/ zerotier/tailscale/surge ponte
|
 |
10
zjyg1993 14 天前
1.建议 ssh 端口改掉,然后改成很复杂的密码,最好自己也记不住那种,让机器账号自动记忆
2.改用 异地组网,zerotier 或者 tailscale 这种,不然天天有人尝试登录你机器。我现在机器就天天有人在爆破登录 |
 |
11
lingex 14 天前
@wxw752 #1 你真的检查了吗?会不会是早被爆了却没发现?
我也高位端口开了多年,时不时能看到尝试登录记录。 还有一次用的以前在网上被爆过的密码,我以为改成了只允许密钥登录就无所谓,也没认真测试。 没想到 Ubuntu 默认在 50-cloud-init.conf 里配了允许密码登录(很难理解),而且会覆盖 sshd_config 里配的禁止。 有一天感觉有点不对才发觉。 |
 |
12
selfly 14 天前
密码复杂点或者用密钥,没啥大问题,我开了好几年了,虽然日志中有企图登录的记录不少
其实我最想开的是 80 或 443 端口,可是特喵的这两个是封禁的 |
 |
14
amanisheir 14 天前
换端口禁密码用公钥
|
 |
15
null2error 14 天前
在上家公司某款软件在 Windows 上做内网部署试用,开放了公网端口给供应商做部署和远程调试,图方便就用了 admin+123456 ,但不是 3398 端口,仅放了一个周末,被安装了勒索软件
我自己的主机都是高位端口、证书登录、fail2ban 一起上的,而且禁止 root 账号从 ssh 直接登录,只有普通用户有权限登录,进系统后 sudo |
 |
16
MelodYi 14 天前
至少要把端口改掉
|
 |
17
cjq8z 14 天前 via iPhone
不改 22 端口你会发现每秒至少几十次登陆尝试
|
 |
18
jianyunet 14 天前
宽带公网好像是禁用了 1024 以下端口,必须换高位端口号
|
|
19
lingex 14 天前
|
 |
20
chairuosen 14 天前
包一层 VPN 走内网
|
 |
21
Jokesy 14 天前
改成高位端口,强制秘钥登录,无解
|
 |
22
Wvg9eBo3U0c8BLd2 14 天前
@lingex #19 也许他禁用了 root 账户, 没人知道用户名是什么, 密码再简单也没事. 扫描脚本都是浅尝辄止, 没有人会盯着一个 IP 去搞.
|
|
23
lingex 14 天前
@lolita89201 #22 我有一次被盯过很长一段时间,有 fail2ban, 然后发现他搞了一组连续的 ip 来试。不记得持续了多久,后来烦了在路由器上把 ip 段 drop 掉。
|
 |
24
bobryjosin 14 天前 via iPad
@jianyunet 不一定,其实 1000 以下很多端口都是可以入站的,我们这 dns 53 端口都可以入站,22 端口也没封,路由器防火墙计数器都有计数,剩下的还有 snmp 161 ,ntp 123 ,ike 500
|
 |
25
Lweiis 14 天前
有风险,我开放了 windows 远程桌面端口(换了端口号),经常被恶意撞库导致系统临时禁用远程桌面连接,赶紧换的高强度密码(据说是撞库至少得试 1000 年)
|
|
26
Lweiis 14 天前
我换的高强度密码,我自己手输都经常错个一两次
|
|
27
wxw752 14 天前
@lolita89201 #22 对,这个忘了说了,确实没用 root,用的是我习惯的用户名
|
 |
28
lekai63 14 天前 via iPhone
高位端口 私钥登陆
|
 |
29
bjfane 14 天前
最简单 私钥登录, 能加一层 vpn 更香了
|
 |
30
mcluyu 14 天前
自己用的就套 VPN 啊,想啥呢,喜欢刺激?
|
 |
32
tool2dx 14 天前
说清楚啥公网,IP4 公网不行,会被扫到的。IP6 公网貌似挺安全的,没人全网扫,实在太多了。
|
 |
33
lazywen 14 天前 via Android
换端口安全,但经常 scp 的话麻烦,整条命令完了才想起来要去前面加-P 端口号
最终我用 ipv6 + 22 端口 + 禁止 root 登录,四五年了一条扫描记录都没有,ipv4 + 22 的话确实每秒几十条扫描,虽然有 fail2ban 进不来,但产生大量垃圾日志很不爽 |
 |
35
Jinnrry 14 天前
对外只暴露 vpn 端口,通过 vpn 连回内网操作
|
 |
36
YDDDD OP 看了一下太复杂了,目前不算特别需要,只是想在公司方便用自己的电脑,不过如果开高端口设置 ip 白名单可以吗,我有个云服务器配置低,拿云服务器当个跳板机不知道可不可以。
|
Select Language