这是一个创建于 3905 天前的主题,其中的信息可能已经有所发展或是发生改变。
从昨天开始,有人开始一直在暴力的破解我的root密码,ip地址一直是变化的,我该怎么应对?!
第 1 条附言 · 2014-03-11 11:29:50 +08:00
现在限制了ip登录,效果甚好。其实我知道我这有一堆漏洞,就是不知道大哥为嘛非愿意破解密码。
 |
1
hadoop 2014-03-10 10:23:17 +08:00  5
0. ssh换端口
1.ssh直接禁止root登陆 2. 禁止密码登陆 3. 开denyhost,将ssh失败>n次的ip加入黑名单,封一段时间 |
 |
2
yylzcom 2014-03-10 10:29:27 +08:00 2
ssh端口一定要换,换个高位数端口就安全了60%
fail2ban配置简单,推荐使用 |
 |
3
guoker OP 一直没关心过服务器安全,除了用个代理,也懒的理会,刚看了下日志,竟然从二月10号开始有人破密码,还好密码稍微复杂些。不知道惹到了谁,对方还很有耐心。
|
 |
4
lookhi 2014-03-10 10:52:21 +08:00
禁用密码登陆,启用key登陆
|
 |
5
pirex 2014-03-10 11:17:23 +08:00
authy
|
 |
6
marklrh 2014-03-10 11:26:18 +08:00 2
vi /etc/ssh/sshd_config
如下设置 RSAAuthentication yes PubkeyAuthentication yes ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no |
|
7
marklrh 2014-03-10 11:27:01 +08:00
同理,在里边也可以设置ssh的端口,你也可以用iptables把22端口禁掉。。。
|
 |
8
lyragosa 2014-03-10 11:33:35 +08:00
我一直担心用key登陆会玩脱
所以就设了一个同一IP登陆错误5次就ban一个小时 |
 |
9
mahone3297 2014-03-10 11:34:09 +08:00 1
如何看有人在破解你密码?log?哪个log?
|
 |
10
VYSE 2014-03-10 11:34:12 +08:00
fail2ban
|
|
11
marklrh 2014-03-10 11:41:52 +08:00
@mahone3297 faillog -a 好像可以吧?
|
 |
12
Tink 2014-03-10 11:51:08 +08:00 via iPad
你禁用密码不就行了
|
 |
13
dorentus 2014-03-10 12:06:00 +08:00 2
@mahone3297 /var/log/auth.log
|
|
14
mahone3297 2014-03-10 12:41:45 +08:00
@dorentus 看了,好像只有用户名,有没有那里可以看这个人尝试登录的用户名和密码?
|
 |
15
2ex 2014-03-10 14:57:35 +08:00
这根本不叫事儿,我所有公网服务器都经常被穷举密码的,曾经被爆菊了两台。把sshd的密码登录关了就行,只使用证书登录。
|
 |
16
thinkxen 2014-03-10 17:01:21 +08:00 via Android
fail2ban可以满足你
|
|
17
dorentus 2014-03-10 21:52:44 +08:00
@mahone3297 密码的话我就不清楚了,默认应该是不记的,不知道有没有方法可以让系统记……
话说我那个啥都没有的机器每天还有近百的登录失败尝试呢,无所谓的啦(密码登录早就关了) fail2ban 我也装了,不过好像还没配置好,没见什么明显的效果 |
 |
18
webjin 2014-03-11 01:01:33 +08:00 via Android
到系统里装个vpn然后ssh只允许本机ip登陆
|
 |
19
raptor 2014-03-11 09:02:13 +08:00
从来不用22端口,加上禁止ROOT登录,目前还从来没碰到过被尝试的记录
当然以前用22的时候还是很多的,每天几十个总是有的 |
 |
20
mengzhuo 2014-03-11 09:36:16 +08:00
只允许key登入,问题搞定
|
|
21
guoker OP |
 |
22
fuxkcsdn 2014-03-11 13:25:13 +08:00
禁止密码登录是必须的,上次和我朋友一起买VPS(各买各的)
他的VPS用的密码登录,有次让我上去帮他安装Shadowsocks,知道他既然是用密码登录后,去看了下日志...果然一大堆登陆失败的日志... 让他改成禁止密码登陆,答曰“反正只是用来代理的,管他的,要破就破吧”.... |
 |
24
Admstor 2014-03-11 17:58:08 +08:00
改端口可以避免80%的破解,真的!
这些扫描都是自动的,基本都是只扫默认端口 除非你惹了谁,可能会全端口扫你一下(挺慢的)来猜测端口号,不然一般改了高位端口就很少会收到攻击的 |
Select Language