这是一个创建于 244 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 wxw752 244 天前 不用 22 端口,改成高位的。开放五年了,密码 123456 没遇到问题 |
 | 3 xliao 244 天前  2 改成禁止口令登陆只允许密钥登陆更安全 |
 | 4 EvanQu 244 天前 密钥登录 +fail2ban |
 | 5 bestie 244 天前 1 用 vpn 或者 zerotier/tailscale 之类的先回家,然后再内网 ssh 稳妥的多。 |
 | 6 yelog 244 天前 不用 22, 换成自定义端口, 可以避免绝大部分的问题. 经常攻击的朋友都知道, 比如发现了 ssh 某个版本的 bug, 写个脚本进行如下流程 1. 拿到上海浦东的所有 IP 段 2. 然后扫描每个 IP 的 22 端口是否是通的 3. 如果端口是通的, 就开始利用漏洞进行攻击 4. 攻击进去后, 设置后门, 并添加到肉鸡队列 5. 扫描完成后, 换别的 IP 段继续 |
 | 7 guanhui07 244 天前 不用 22 换其他端口 |
 | 9 SakuraYuki 244 天前 建议套一层 vpn/ss/ zerotier/tailscale/surge ponte |
 | 10 zjyg1993 244 天前 1.建议 ssh 端口改掉,然后改成很复杂的密码,最好自己也记不住那种,让机器账号自动记忆 2.改用 异地组网,zerotier 或者 tailscale 这种,不然天天有人尝试登录你机器。我现在机器就天天有人在爆破登录 |
 | 11 lingex 244 天前 @wxw752 #1 你真的检查了吗?会不会是早被爆了却没发现? 我也高位端口开了多年,时不时能看到尝试登录记录。 还有一次用的以前在网上被爆过的密码,我以为改成了只允许密钥登录就无所谓,也没认真测试。 没想到 Ubuntu 默认在 50-cloud-init.conf 里配了允许密码登录(很难理解),而且会覆盖 sshd_config 里配的禁止。 有一天感觉有点不对才发觉。 |
 | 12 selfly 244 天前 密码复杂点或者用密钥,没啥大问题,我开了好几年了,虽然日志中有企图登录的记录不少 其实我最想开的是 80 或 443 端口,可是特喵的这两个是封禁的 |
 | 14 amanisheir 244 天前 换端口禁密码用公钥 |
 | &bsp; 15 null2error 244 天前 在上家公司某款软件在 Windows 上做内网部署试用,开放了公网端口给供应商做部署和远程调试,图方便就用了 admin+123456 ,但不是 3398 端口,仅放了一个周末,被安装了勒索软件 我自己的主机都是高位端口、证书登录、fail2ban 一起上的,而且禁止 root 账号从 ssh 直接登录,只有普通用户有权限登录,进系统后 sudo |
 | 16 MelodYi 244 天前 至少要把端口改掉 |
 | 17 cjq8z 244 天前 via iPhone 不改 22 端口你会发现每秒至少几十次登陆尝试 |
 | 18 jianyunet 244 天前 宽带公网好像是禁用了 1024 以下端口,必须换高位端口号 |
| 19 lingex 244 天前 |
 | 20 chairuosen 244 天前 包一层 VPN 走内网 |
 | 21 Jokesy 244 天前 改成高位端口,强制秘钥登录,无解 |
 | 22 Wvg9eBo3U0c8BLd2 244 天前 @lingex #19 也许他禁用了 root 账户, 没人知道用户名是什么, 密码再简单也没事. 扫描脚本都是浅尝辄止, 没有人会盯着一个 IP 去搞. |
| 23 lingex 244 天前 @lolita89201 #22 我有一次被盯过很长一段时间,有 fail2ban, 然后发现他搞了一组连续的 ip 来试。不记得持续了多久,后来烦了在路由器上把 ip 段 drop 掉。 |
 | 24 bobryjosin 244 天前 via iPad @jianyunet 不一定,其实 1000 以下很多端口都是可以入站的,我们这 dns 53 端口都可以入站,22 端口也没封,路由器防火墙计数器都有计数,剩下的还有 snmp 161 ,ntp 123 ,ike 500 |
 | 25 Lweiis 244 天前 有风险,我开放了 windows 远程桌面端口(换了端口号),经常被恶意撞库导致系统临时禁用远程桌面连接,赶紧换的高强度密码(据说是撞库至少得试 1000 年) |
| 26 Lweiis 244 天前 我换的高强度密码,我自己手输都经常错个一两次 |
| 27 wxw752 244 天前 @lolita89201 #22 对,这个忘了说了,确实没用 root,用的是我习惯的用户名 |
 | 28 lekai63 244 天前 via iPhone 高位端口 私钥登陆 |
 | 29 bjfane PRO 最简单 私钥登录, 能加一层 vpn 更香了 |
 | 30 mcluyu 244 天前 自己用的就套 VPN 啊,想啥呢,喜欢刺激? |
 | 32 tool2dx 244 天前 说清楚啥公网,IP4 公网不行,会被扫到的。IP6 公网貌似挺安全的,没人全网扫,实在太多了。 |
 | 33 lazywen 244 天前 via Android 换端口安全,但经常 scp 的话麻烦,整条命令完了才想起来要去前面加-P 端口号 最终我用 ipv6 + 22 端口 + 禁止 root 登录,四五年了一条扫描记录都没有,ipv4 + 22 的话确实每秒几十条扫描,虽然有 fail2ban 进不来,但产生大量垃圾日志很不爽 |
 | 35 Jinnrry 244 天前 对外只暴露 vpn 端口,通过 vpn 连回内网操作 |
 | 36 YDDDD OP 看了一下太复杂了,目前不算特别需要,只是想在公司方便用自己的电脑,不过如果开高端口设置 ip 白名单可以吗,我有个云服务器配置低,拿云服务器当个跳板机不知道可不可以。 |
Select Language