V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Features
V2EX  ›  Linux

Linux 管理过程中,关闭 22 端口,只使用 vnc 管理是否更安全?

  •  
  •   Features · 135 天前 · 3954 次点击
    这是一个创建于 135 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨晚看到爆出的 ssh 漏洞冒了一身冷汗,我的服务器刚好处于受害的版本内
    立刻去安全组中关闭了 22 端口,只留了 3306 和 80 ,443 这三个端口
    服务器统一用服务商的 vnc 进行管理

    这样是否更安全一点?
    42 条回复    2024-07-06 18:07:46 +08:00
    erquren
        1
    erquren  
       135 天前
    升级 ssh 解决
    busier
        2
    busier  
       135 天前   ❤️ 4
    标准的 vnc 协议是无加密明文传输的

    再说了,更新下 sshd 要花钱吗?
    duanxianze
        3
    duanxianze  
       135 天前
    3306 更不安全吧?
    superrichman
        4
    superrichman  
       135 天前
    公网数据库,完美的靶子
    churchmice
        5
    churchmice  
       135 天前
    看完就感觉挺无语的
    为嘛你觉得 80,443 端口安全呢? apache/nginx/php 暴的漏洞还少吗? 3306 就更不用说了
    laikick
        6
    laikick  
       135 天前
    请使用 零信任.
    selfly
        7
    selfly  
       135 天前
    后知后觉了,吓的我赶紧去看了下我暴露在公网的树莓派,还好树莓派 OpenSSH_8.4p1 不在漏洞版本范围内
    Features
        8
    Features  
    OP
       135 天前
    @busier
    @erquren
    主要是几十台服务器,我寻思着关了端口不是更快一点嘛
    Features
        9
    Features  
    OP
       135 天前
    @erquren
    @duanxianze
    局域网组网做读写分离必须要开咋办啊?😭
    只有一个本地 root 用户和特定 ip 的用户
    Features
        10
    Features  
    OP
       135 天前
    @churchmice 80 和 443 必须要开,有漏洞也没法子了。。。
    gesse
        11
    gesse  
       135 天前
    改成非 22 端口,应该 99.999%避免所有
    yangg
        12
    yangg  
       135 天前
    @erquren ubuntu 22.04 怎么升级?
    阿里云的切到 ubuntu 官方镜像,还是

    sudo apt full-upgrade
    Reading package lists... Done
    Building dependency tree... Done
    Reading state information... Done
    Calculating upgrade... Done
    Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
    gsasl-common libgsasl7
    Learn more about Ubuntu Pro at https://ubuntu.com/pro
    #
    # OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
    # RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
    # For more details see: https://ubuntu.com/security/notices/USN-6859-1.
    #
    The following packages have been kept back:
    python3-update-manager ubuntu-advantage-tools update-manager-core
    0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
    ➜ apt apt policy openssh-server
    openssh-server:
    Installed: 1:8.9p1-3ubuntu0.10
    Candidate: 1:8.9p1-3ubuntu0.10
    Version table:
    *** 1:8.9p1-3ubuntu0.10 500
    500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
    500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
    100 /var/lib/dpkg/status
    1:8.9p1-3 500
    500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages
    retanoj
        13
    retanoj  
       135 天前
    OP 看完楼里回复,一总结发现:就啥也不让开呗
    totoro625
        14
    totoro625  
       135 天前   ❤️ 1
    几十台服务器,留一台作为堡垒机不行吗,所有服务器都配置 22 端口白名单给指定服务器
    ladeo
        15
    ladeo  
       135 天前
    VNC 也不安全啊
    shakeyo
        16
    shakeyo  
       135 天前
    @churchmice 看完你这言论也挺无语的,意思是什么端口不暴露就安全是吗,因噎废食吗?
    DefoliationM
        17
    DefoliationM  
       135 天前 via Android
    端口全关了,用 tailscale 连
    laminux29
        18
    laminux29  
       135 天前   ❤️ 1
    任何接入方案都可能有漏洞。企业级的安全做法是,多层接入方案,来提高整体安全性。比如 Linux 的 VPN + OpenBSD 的 SSH + Windows 的 RDP ,3 套连接方案一起用,再加上 fail2ban + 地域 IP 白名单 + IPS ,3 层安全,不仅黑客进不去,自己也进不去。你就说安不安全。
    wowbaby
        19
    wowbaby  
       135 天前
    为啥喜欢默认端口?我改至少 4 位数的端口,服务过那么多小企业,服务器从上线就没安全更新过,也没见过有事的,每天一堆的扫描,看到很多有事的都是用的 web 开源程序的漏洞导致。
    devswork
        20
    devswork  
       135 天前
    @laminux29 #18 安全,安全了! 哈哈哈哈哈哈哈,自己都进不去,笑死了
    byte10
        21
    byte10  
       135 天前
    1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上,攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上,目前没有在可接受时间内的利用方案,但未来的改进可能使其成为现实。

    大多数安全的问题,都是有很必要条件的,不用折腾这些了。
    xdzhang
        22
    xdzhang  
       135 天前
    你 3306 也放出去啊。
    Features
        23
    Features  
    OP
       135 天前
    @xdzhang 局域网组网做读写分离必须要开咋办啊?😭
    huangcjmail
        24
    huangcjmail  
       135 天前
    @Features #23 可以配置指定网段才能连过去的,把数据库的集群放一个小网段下就行。
    Features
        25
    Features  
    OP
       135 天前
    @huangcjmail 感谢感谢,我知道怎么配置了
    privil
        26
    privil  
       135 天前
    @retanoj #13 内网访问请走 VPN 、专线,外网访问请加 waf 等安全设备。
    sampeng
        27
    sampeng  
       135 天前
    所有人都看漏了。。服务商的 vnc 。是阿里云吗?直接付费买他的堡垒机。所有机器不开外网。暴露外网都走 slb 。就只有你接口漏洞了。
    sampeng
        28
    sampeng  
       135 天前
    嫌贵就 jumpserver 走着。jumpserver 的机器和公司 vpn 打通。ipsec 的安全性还是有保障的
    sampeng
        29
    sampeng  
       135 天前
    我觉得很神奇。。。。我已经看到无数的公司的阿里云的机器直接申请 eip 暴露出公网。。真不嫌命大和麻烦
    LokiSharp
        30
    LokiSharp  
       135 天前
    挂个 wireguard 除了 80 443 端口都不对外开放
    mingtdlb
        31
    mingtdlb  
       135 天前
    @gesse 人家一扫就扫出来了
    iyiluo
        32
    iyiluo  
       135 天前
    只要是人写的软件,都可能出现漏洞,除非你不所有端口都关了
    gefangshuai
        33
    gefangshuai  
       135 天前
    开了 3306 ?你为什么不做个 vpn 呢?挺无语的
    opengps
        34
    opengps  
       135 天前
    就算你只开通 80 端口,端口的大问题算是合格了,但是你怎么保证你的 web 没有漏洞?
    mingtdlb
        35
    mingtdlb  
       135 天前
    没必要太担心,安全是相对的,做好基本的防护,足以。比如这个 ssh 你平时有加 fail2ban 或者登入几次失败后锁定账户,都能缓解,还有之前那个 CVE-2024-1086 普通用户提权,那也需要普通用户进去了不是


    成功利用漏洞是需要一定条件的,而且还要看你是否有价值。
    azarasi
        36
    azarasi  
       135 天前   ❤️ 1
    只允许 vpn 访问 ssh 端口不就行了
    om2mo
        37
    om2mo  
       134 天前
    就算有那个漏洞你觉得实现起来容易吗?
    msg7086
        38
    msg7086  
       134 天前
    升级 SSH ×
    杀掉 SSH √
    不是很能理解一些人的脑回路……系统安全本来就依赖软件经常更新,经常打上安全补丁。
    SSH 关了有什么用,下次照样从你没打补丁的 Web server 进来。
    daimiaopeng
        39
    daimiaopeng  
       134 天前
    因噎废食?
    oneisall8955
        40
    oneisall8955  
       134 天前 via Android
    3306 为什么要开到公网?既然是局域网复制读写分离,MySQL 绑定的网卡到局域网的 IP 就行了
    kios
        41
    kios  
       134 天前
    1. 升级 ssh
    2. 更改默认端口
    3. 禁止用户名密码登录,改用密钥登录
    Paulownia
        42
    Paulownia  
       131 天前
    那个洞利用难度很高吧。另外相信我,只要没有弱口令,ssh 绝对是楼主提到的服务端口里面最安全的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5246 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 09:27 · PVG 17:27 · LAX 01:27 · JFK 04:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.