全球主机交流论坛

标题: SSH 防止别人爆破 N个方法，总结笔记 [打印本页]

作者: sRGB 时间: 2021-8-11 09:08
标题: SSH 防止别人爆破 N个方法，总结笔记
本帖最后由 sRGB 于 2021-8-11 09:20 编辑

原来帖子
ssh爆破10次失败就拉黑
https://loc.mjj8.eu.org/thread-876905-1-1.html

补充

方法6. 关门放狗 iptables 法，这个也是不错的辅助方法，可以把跳板机的IP放里面

iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
iptables -I INPUT -p tcp -s 你的ip --dport 22 -j ACCEPT

自己忘了直接重启小鸡就好了
关门重启就好了，重启自动失效

方法7. 使用云主机的防火墙机制，SSH端口只对本地市级IP网段开放
方法是监测自己上网动态IP，然后使用 ipip.net 查询网段，添加到防火墙规则

作者: 王多多 时间: 2021-8-11 09:10
换个图床吧

作者: sRGB 时间: 2021-8-11 09:13

王多多发表于 2021-8-11 09:10
换个图床吧

sm.ms 还没恢复吗

作者: sebaobao1205 时间: 2021-8-11 09:16
可以可以

作者: ddc998 时间: 2021-8-11 09:21
都是图片怎么CTRL+C 复制脚本

作者: sRGB 时间: 2021-8-11 09:22

ddc998 发表于 2021-8-11 09:21
都是图片怎么CTRL+C 复制脚本

签名个人笔记

作者: brucex 时间: 2021-8-11 09:23
谢谢分享。收藏了。

作者: 云缨 时间: 2021-8-11 09:25
禁止密码登录就行了

作者: buildLT 时间: 2021-8-11 09:27
秘钥登陆不就行了

作者: Zeros 时间: 2021-8-11 09:31
收藏了，支持

作者: sagerking 时间: 2021-8-11 09:34
密钥，禁止密码，能被爆破机子送你

作者: sRGB 时间: 2021-8-11 09:35

sagerking 发表于 2021-8-11 09:34
密钥，禁止密码，能被爆破机子送你

redis 以前有个漏洞

作者: huang1dede 时间: 2021-8-11 09:38
马克一下,,可以一试................

作者: weixiangnan 时间: 2021-8-11 09:44

sRGB 发表于 2021-8-11 09:22
签名个人笔记

IP+1

作者: heyechuanmei 时间: 2021-8-11 09:46
最稳妥的还是安全组封禁SSH端口，需要的时候再开启。仅适用大厂，小厂怕官网失联无法修改安全组

作者: zxxx 时间: 2021-8-11 09:48
改端口+秘钥登陆

作者: dunce 时间: 2021-8-11 09:49
禁密码，禁root 即可，不必折腾

作者: merloat 时间: 2021-8-11 09:53
感谢分享，禁密码加禁root登录足矣

作者: webjin 时间: 2021-8-11 10:02
我觉得楼主方法6 应该搞错了顺序哦
iptables -I INPUT -p tcp -s 你的ip --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
按照楼主那个方法，会连不上的。

作者: nebulabox 时间: 2021-8-11 10:08
大部分时候，换个端口就解决问题了。

作者: erno 时间: 2021-8-11 10:12
好贴
顶楼主

作者: sRGB 时间: 2021-8-11 10:35

webjin 发表于 2021-8-11 10:02
我觉得楼主方法6 应该搞错了顺序哦
iptables -I INPUT -p tcp -s 你的ip --dport 22 -j ACCEPT
iptables ...

我也是复制过来的，没测试
如果掉坑了重启就好了

作者: vultrlinode 时间: 2021-8-11 10:37
谢谢热心分享

作者: sRGB 时间: 2021-8-11 17:16

webjin 发表于 2021-8-11 10:02
我觉得楼主方法6 应该搞错了顺序哦
iptables -I INPUT -p tcp -s 你的ip --dport 22 -j ACCEPT
iptables ...

-I -A 参数，两行一起复制是没问题的
一行一行复制没测试

作者: wxcszh123 时间: 2021-8-11 17:22

商家不都是有防火墙吗？拦住就好了，用的时候防火墙上再开个端口

作者: swsh007 时间: 2021-8-11 19:31
跳板机好了
相对风险要小些

作者: 燕十三丶 时间: 2021-8-11 19:38
改端口换16位高强度密码不定时查看错误登录记录应该就能杜绝大部分爆破吧

作者: Xiaoxi679 时间: 2021-8-11 20:19
马克一下，谢谢楼楼分享

作者: KDE 时间: 2021-8-11 20:30

webjin 发表于 2021-8-11 10:02
我觉得楼主方法6 应该搞错了顺序哦
iptables -I INPUT -p tcp -s 你的ip --dport 22 -j ACCEPT
iptables ...

楼主方法6没错
-I是插入
-A是添加
插入在添加之前

作者: KDE 时间: 2021-8-11 20:48
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --rcheck --seconds 600 --hitcount 3 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set -j ACCEPT

世界清静了
请教下大佬
iptables 转 firewalld该怎么写?

作者: ming997hk 时间: 2021-8-11 21:03
不用这么麻烦，换个端口，设置个复杂密码就完事了

作者: otakusay 时间: 2021-8-11 21:54
SSH端口改成 5 位数随机数，密码 16 位随机，基本不担心被爆破。

作者: greensnow 时间: 2021-8-11 21:57

Eicky 发表于 2021-8-11 17:29
我有个问题，如果使用密钥登录，出问题了，需要用vnc，咋登录呢？

vnc是本地登录，不受限制的

作者: chinabc 时间: 2021-8-11 21:58
学习

欢迎光临全球主机交流论坛 (https://loc.mjj8.eu.org/)