RT 更改了默认的 22 端口,几天观察下来,尝试登录的记录一点都没有减少。 作为一项安全访问措施, [更改 ssh 默认的 22 端口] 可以移除了。
34 条回复 • 2024-12-02 22:26:37 +08:00
 |
1
Kinnice 6 小时 19 分钟前
咋?观察一下一台机器就能得出结论。
|
 |
2
zengxs 6 小时 8 分钟前  2
设置 ssh 为只允许 pub key 登录,你就会发现没人再去尝试登录你的机器了
|
 |
3
spritecn 6 小时 6 分钟前
优先扫[1-9]022,[1-9]021,相信你是正常人,话说全扫一下也花不了多少时间
|
 |
4
liaohongxing 6 小时 4 分钟前
好的工具 1-65535 端口探测只需要十几秒钟
|
 |
5
driller 5 小时 59 分钟前
用 nmap 扫一遍 tcp 端口花不了多生时间,换端口增加安全性只适用于 udp ,因为那个不会应答吧
|
 |
6
bobryjosin 5 小时 58 分钟前 via Android
ssh 的特征非常明显,用 telnet 敲下端口就返回协议类型了,扫全端口也花不了多长时间。
|
 |
7
donaldturinglee 5 小时 57 分钟前
你就不能换成 ssh key 登录吗...
|
 |
8
peasant 5 小时 34 分钟前
@zengxs 没有那么绝对,我国内腾讯云的机器设置了只允许 Pubkey 登录,也禁止了密码登录,lastb 能看到每天还是有很多乱七八糟的用户名尝试登录。
|
 |
9
odirus 5 小时 30 分钟前
fail2ban
|
 |
10
bingoso OP @Kinnice 我这是任意抽检两台云服务器观察一周得出的这个结论,可靠性应该是很高的。
@zengxs 密钥登录和密码登录的安全性,现在还有争论。 @bobryjosin 确实低估了扫描工具的威力,我故意选用的高位端口,仍旧避免不了被扫。 |
|
11
odirus 5 小时 23 分钟前
我是服务商防火墙配置一次规则、服务器本身防火墙配置一次规则,如果要在服务器开放一些 HTTP 管理界面的话,用 Cloudflare tunnel + mTLS 双向证书,安全性无敌。
|
 |
13
hdp5252 5 小时 0 分钟前 via Android
私钥登录
|
 |
14
codersdp1 4 小时 43 分钟前
有一点,但不多。
|
 |
15
Aicnal 4 小时 16 分钟前
爱扫就扫呗,我服务器还关了 ping ,直接装死
|
 |
16
julyclyde 4 小时 11 分钟前
ssh 协议是服务器主动的协议
这种协议随便一扫就知道端口号是多少了 更改端口号真的没什么意义 |
 |
17
yankebupt 4 小时 6 分钟前 8
放个陷阱端口啊,低位端口放一个陷阱,只要这个端口有 tcp 扫立刻 ban ip……轮不到高位暴露
|
|
18
yankebupt 4 小时 1 分钟前
放陷阱端口的意义在于,除了骇客在扫,网安也在扫你,云服务商的各种外包云安全也在扫你,不想接受他们“插一杠子”式的服务的话,做个微型蜜罐有益无害
|
 |
19
JerryYuan 3 小时 50 分钟前 via Android
所以我选择 VPN 连接,用 VPN 内网地址去登录云服务器。为了给 VPN 备份,主机开放 22 端口,但云服务器的安全组规则会直接封掉 22 端口,一旦 VPN 失效,去控制台临时放行一下 22 端口依然可以正常访问,不会被关在门外。
|
 |
20
tabc2tgacd 3 小时 23 分钟前
确实,主要还是禁止密码登录,设置只能密钥登录
|
 |
21
realpg 3 小时 22 分钟前
只有一丁点作用,能减少一部分傻瓜的扫描器,降低服务器负载,降低网络开销
还是推荐改一下 |
 |
22
lifansama 2 小时 42 分钟前 via Android
fail2ban ,指数增长地增加拉黑时间
|
 |
25
ashong 2 小时 29 分钟前
pubkey 登录,fail2ban
|
 |
26
liuzimin 2 小时 29 分钟前
我是直接用阿里云的安全组,ssh 还是保持为 22 ,平时直接阻止所有 ssh 连接,需要连的时候, 就手动把当前自己的外网 IP 加入白名单允许一下 ssh 连接,用完再关。
|
 |
27
sagaxu 2 小时 20 分钟前 1
改端口是最没用的,
fail2ban 能阻止频繁重试,但如果对方 IP 多也能不断换 knockd 端口敲门,默认不开启 22 端口,只有先用暗号敲门,比如 3089 9981 2416 三个端口依次连接过后,再对这个 IP 地址单独放行,不知道暗号扫描也扫不了 |
 |
28
lpdink 2 小时 11 分钟前
我发现爆破的都是境外 IP 地址,白名单只允许大陆 IP 就行了
|
 |
29
CatCode 1 小时 51 分钟前
改端口的功能不是给防攻击用的 而是让用户可以把 22 端口给别的程序用
应用场景举例: (一)某个“智商极高”的程序员的 HTTP 服务器在代码里面写死了监听 22 端口 (二)在 22 端口上开启 netcat 或者其他程序,检测其他 ssh 客户端发过来的握手包具体内容 |
 |
30
importmeta 1 小时 50 分钟前
拿证书登录不就一劳永逸了?
|
 |
32
sfdev 1 小时 14 分钟前 via Android
想不让扫是不可能的,直接禁密码就行了,别的可有可无。
|
|
33
sagaxu 1 小时 7 分钟前
@mingtdlb 自带的就很好用 knock myserver.example.com 123:tcp 456:udp 789:tcp
云服务商其实都有 API 给你远程操控防火墙,我自己的服务器只对外开 443 端口,22 端口要走白名单,这个白名单里有一条是我的 IP ,cron 脚本定期更新。 |
 |
34
uid106 59 分钟前 via iPhone
推荐一个 go 项目 https://github.com/yosebyte/passport ,用他带认证的转发模式,不在 ip 白名单的直接丢包
|
Select Language