这是一个创建于 3818 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
 | 1 aiguozhedaodan 2015-05-14 20:03:33 +08:00 via Android 改端口,换密钥登录 然后爱扫就扫无视即可 |
 | 2 sanddudu 2015-05-14 20:04:04 +08:00 关掉密码登录,用私钥登录 改掉默认端口 禁用 root |
 | 3 foreverlucas OP @aiguozhedaodan 改了端口连接失败 上次就是,不得不买了iKVM的额外IP…… |
| 4 foreverlucas OP @sanddudu 我是个经常丢pem的人 |
| 5 foreverlucas OP 现在就想求一个能用的防火墙 |
 | 6 lyragosa 2015-05-14 20:05:12 +08:00 CentOS7 没iptables了? |
| 7 OP @lyragosa 对啊。改firewalld |
 | 8 KexyBiscuit 2015-05-14 20:06:26 +08:00 via Android  1 @foreverlucas (''〃)换宽带,我深刻明白了国际线路再好,国内差也没得救的道理。 公私钥是正解,Skype 上说过啦~关掉密码登录后就不需要什么 deny 或者 ban 了。 |
 | 9 wy315700 2015-05-14 20:08:00 +08:00 关掉密码登录 |
| 10 foreverlucas OP @KexyBiscuit 这。。是。。国内服务器。。。。 |
 | 11 lhbc 2015-05-14 20:10:11 +08:00 找不到不换端口的理由 我所有服务器的端口都是不同的 |
| 12 foreverlucas OP @lhbc 是在/etc/ssh/sshd那个配置文件么? 我改了,重启服务,ssh上不去了 |
| 13 aiguozhedaodan 2015-05-14 20:12:16 +08:00 via Android @foreverlucas 是不是对方端口没给你开全啊。。 |
| 14 foreverlucas OP @aiguozhedaodan 电信公网IP 除了80(备案才给开)都开 |
 | 15 kslr 2015-05-14 20:18:39 +08:00 via Android @foreverlucas 怎么个失败法? |
 | 16 bobopu 2015-05-14 20:24:19 +08:00 1.改端口 2.新建复杂用户名+复杂密码 3.禁止root登录 4.设置每ip每60秒扫描超过4个端口拉黑12小时。 5.设置输错远程密码拉黑ip12小时。 |
 | 17 facat 2015-05-14 20:31:45 +08:00 用强密码,换端口,有这两样应该很难被爆了吧 |
 | 18 rolay 2015-05-14 20:32:59 +08:00 1 服务器装个shadowsocks,ssh端口关闭.然后xshell走ss代理连接好酸爽. |
 | 19 brando 2015-05-14 20:33:56 +08:00 只允许特定IP登陆。 |
 | 20 neoblackcap 2015-05-14 20:42:33 +08:00 为什么还要用密码登陆啊?密码登陆并不安全,我都是公/私钥登陆并禁止密码登陆的。 还有的就是记得改端口。 |
 | 21 GeekTest 2015-05-14 20:44:01 +08:00 via Android 直接关ssh233333 |
 | 22 yylzcm 2015-05-14 20:53:56 +08:00 via Android 换个用户名换个端口他能猜到? 不行就证书登录呗 |
 | 23 bellchu 2015-05-14 20:58:01 +08:00 passwd root -d |
 | 24 pangtianyu 2015-05-14 21:17:42 +08:00 为什么不用 firewalld 啊 不是蛮好的嘛 |
 | 25 keke88168 2015-05-14 21:18:07 +08:00 我就说一点:centos7有iptables的…… |
 | 26 hotsnow 2015-05-14 21:18:28 +08:00 debian8 都默认禁止 root 登录了 |
 | 27 xuhaoyangx 2015-05-14 21:29:00 +08:00 = =用自带防火墙做个检测特定大小的ping包,检测到了打开ssh用的端口一段时间。 |
 | 28 coolcfan 2015-05-14 21:30:51 +08:00 换个端口先 |
| 29 coolcfan 2015-05-14 21:34:30 +08:00 @foreverlucas 你 firewalld 是不是开着……如果开着记得把新端口加进去,用 firewall-cmd 。 firewall-cmd --permanent --add-port=xxx/tcp 差不多是这种格式的样子…… |
 | 30 love 2015-05-14 21:51:33 +08:00 把SSH用强密码或禁密码用key登录就根本不用管了 |
 | 31 O21 2015-05-14 21:51:46 +08:00 via Smartisan T1 换个端口可以解决你很大的困扰 |
 | 32 maxbon 2015-05-14 22:04:26 +08:00 1、hosts限制 2、换端口 3、用key登录 |
 | 33 cnhongwei 2015-05-14 22:12:46 +08:00 我也是使用centos 7,通过epel安装的fail2ban,其中带了firwallcmd的配置,可以直接使用。 |
 | 34 stanhou 2015-05-14 22:27:57 +08:00 我有个日本的VPS专门用来做VPN,然后我的所有服务器都只允许这个这个VPN的IP连接,感觉比较省心。 |
 | 35 fuge 2015-05-14 22:31:50 +08:00 via iPhone 没有iptables就不行了,firewall不是要比iptables先进? |
 | 36 skyworker 2015-05-14 22:33:30 +08:00 端口换成22222,能少了99%的攻击。 要是还能被查到第2万2千个端口,然后攻击你,那你小心了,被人盯上了。 |
 | 37 echo1937 2015-05-14 22:34:35 +08:00 @foreverlucas CentOS 7有iptables,也同时有firewalld |
 | 39 kxmp 2015-05-14 23:19:42 +08:00 iptables -I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 10 -j REJECT |
 | 40 mazyi PRO iptables应该不错 |
 | 41 chenshaoju 2015-05-14 23:39:29 +08:00 用UDP敲门…… |
 | 42 octopus_new 2015-05-14 23:59:46 +08:00 firewall-cmd --zOne=public --add-port=xxx/tcp --permanent Firewalld真的是好用得不得了,谁用谁知道:) |
 | 43 9hills 2015-05-15 00:10:19 +08:00 via iPad 重复解决不存在的问题。用密钥一了百了的事情 |
 | 44 lightening 2015-05-15 00:20:53 +08:00 放在互联网上的机器用秘钥登录是常识。 |
 | 45 LazyZhu 2015-05-15 00:22:27 +08:00 1 How to Secure SSH with Google Authenticator’s Two-FactorAuthentication ... http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/ https://www.linux.com/community/blogs/133-general-linux/783135-securing-ssh-with-two-factor-authentication-using-google-authenticator |
 | 46 zhengkai 2015-05-15 00:33:35 +08:00 via Android 禁止密码登录就完了,其他操作都是在折腾自己 |
 | 47 dzxx36gyy 2015-05-15 00:54:21 +08:00 1.换端口 2.换密钥登陆,关闭密码登陆 3.安装fail2ban 好了,你不用纠结了 |
 | 48 lingo233 2015-05-15 02:12:07 +08:00 我已经把端口改为了2333333 |
 | 49 lucifer4he 2015-05-15 09:52:26 +08:00 我都是直接添加秘钥 |
| 50 lucifer4he 2015-05-15 09:52:50 +08:00 然后禁用密码登陆 问题解决 |
 | 51 xiahai4shui 2015-05-15 10:32:51 +08:00 via iPhone 两步验证 |
 | 52 likuku 2015-05-15 11:27:23 +08:00 上次装 ubuntu server 时,发现默认会装这个: sshguard 查到相关如下: Sshguard - Gentoo Wiki : https://wiki.gentoo.org/wiki/Sshguard/zh-cn 「sshguard 是一种入侵防御系统。 sshguard 解析服务器日志,检测恶意行为,然后通过防火墙规则禁止恶意用户登录。 sshguard 是用 C 写的,因此不需要额外的解析器。」 |
| 53 likuku 2015-05-15 11:27:59 +08:00 当然,禁止 password auth,仅许可 密钥认证是王道。 |
 | 54 uuair 2015-05-15 12:05:41 +08:00 @foreverlucas 第一,firewall也是防火墙啊。。第二,如果怕ssh攻击,你可以改成不允许密码登录,只能用key的方式,还可以换ssh的端口。 |
 | 55 quix 2015-05-15 12:07:54 +08:00 这年头 ssh 还有敢用密码登陆的啊... |
 | 56 bingx86 2015-05-15 12:13:13 +08:00 还是觉得应该禁用用户密码 SSH 登录 |
 | 57 timothyye 2015-05-15 13:53:56 +08:00 禁止密码登录,改用证书,整个世界就清洁了 |
 | 58 moliliang 2015-05-15 16:20:26 +08:00 对啊,大家都说了, 禁止密码登录,改用sshkey密钥登录就好啦。。。 |
 | 59 wuyadong 2015-05-15 18:25:30 +08:00 换端口,禁root,基本就够了。 |
 | 60 orcusfox 2015-05-18 01:03:13 +08:00 |
Select Language