V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 4006 days ago, the information mentioned may be changed or developed.
RT
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
装了denyhosts结果是我自己被屏蔽掉(我电脑都没开,但是长城宽带是共用IP的可能攻击者用了我的IP)
装了fail2ban,但是CentOS7没iptables
咋办啊。。。QAQ
 |
1
aiguozhedaodan May 14, 2015 via Android
改端口,换密钥登录
然后爱扫就扫无视即可 |
 |
2
sanddudu May 14, 2015
关掉密码登录,用私钥登录
改掉默认端口 禁用 root |
 |
3
foreverlucas OP @aiguozhedaodan 改了端口连接失败
上次就是,不得不买了iKVM的额外IP…… |
|
4
foreverlucas OP @sanddudu 我是个经常丢pem的人
|
|
5
foreverlucas OP 现在就想求一个能用的防火墙
|
 |
6
lyragosa May 14, 2015
CentOS7 没iptables了?
|
|
7
foreverlucas OP @lyragosa 对啊。改firewalld
|
 |
8
KexyBiscuit May 14, 2015 via Android  1
@foreverlucas ('▽'〃)换宽带,我深刻明白了国际线路再好,国内差也没得救的道理。
公私钥是正解,Skype 上说过啦~关掉密码登录后就不需要什么 deny 或者 ban 了。 |
 |
9
wy315700 May 14, 2015
关掉密码登录
|
|
10
foreverlucas OP @KexyBiscuit 这。。是。。国内服务器。。。。
|
 |
11
lhbc May 14, 2015
找不到不换端口的理由
我所有服务器的端口都是不同的 |
|
12
foreverlucas OP @lhbc 是在/etc/ssh/sshd那个配置文件么?
我改了,重启服务,ssh上不去了 |
|
13
aiguozhedaodan May 14, 2015 via Android
@foreverlucas 是不是对方端口没给你开全啊。。
|
|
14
foreverlucas OP @aiguozhedaodan 电信公网IP 除了80(备案才给开)都开
|
 |
15
kslr May 14, 2015 via Android
@foreverlucas 怎么个失败法?
|
 |
16
bobopu May 14, 2015
1.改端口
2.新建复杂用户名+复杂密码 3.禁止root登录 4.设置每ip每60秒扫描超过4个端口拉黑12小时。 5.设置输错远程密码拉黑ip12小时。 |
 |
17
facat May 14, 2015
用强密码,换端口,有这两样应该很难被爆了吧
|
 |
18
rolay May 14, 2015 1
服务器装个shadowsocks,ssh端口关闭.然后xshell走ss代理连接好酸爽.
|
 |
19
brando May 14, 2015
只允许特定IP登陆。
|
 |
20
neoblackcap May 14, 2015
为什么还要用密码登陆啊?密码登陆并不安全,我都是公/私钥登陆并禁止密码登陆的。
还有的就是记得改端口。 |
 |
21
GeekTest May 14, 2015 via Android
直接关ssh233333
|
 |
22
yylzcom May 14, 2015 via Android
换个用户名换个端口他能猜到?
不行就证书登录呗 |
 |
23
bellchu May 14, 2015
passwd root -d
|
 |
24
pangtianyu May 14, 2015
为什么不用 firewalld 啊 不是蛮好的嘛
|
 |
25
keke88168 May 14, 2015
我就说一点:centos7有iptables的……
|
 |
26
hotsnow May 14, 2015
debian8 都默认禁止 root 登录了
|
 |
27
xuhaoyangx May 14, 2015
= =用自带防火墙做个检测特定大小的ping包,检测到了打开ssh用的端口一段时间。
|
 |
28
coolcfan May 14, 2015
换个端口先
|
|
29
coolcfan May 14, 2015
@foreverlucas 你 firewalld 是不是开着……如果开着记得把新端口加进去,用 firewall-cmd 。
firewall-cmd --permanent --add-port=xxx/tcp 差不多是这种格式的样子…… |
 |
30
love May 14, 2015
把SSH用强密码或禁密码用key登录就根本不用管了
|
 |
31
O21 May 14, 2015 via Smartisan T1
换个端口可以解决你很大的困扰
|
 |
32
maxbon May 14, 2015
1、hosts限制
2、换端口 3、用key登录 |
 |
33
cnhongwei May 14, 2015
我也是使用centos 7,通过epel安装的fail2ban,其中带了firwallcmd的配置,可以直接使用。
|
 |
34
stanhou May 14, 2015
我有个日本的VPS专门用来做VPN,然后我的所有服务器都只允许这个这个VPN的IP连接,感觉比较省心。
|
 |
35
fuge May 14, 2015 via iPhone
没有iptables就不行了,firewall不是要比iptables先进?
|
 |
36
skyworker May 14, 2015
端口换成22222,能少了99%的攻击。
要是还能被查到第2万2千个端口,然后攻击你,那你小心了,被人盯上了。 |
 |
37
echo1937 May 14, 2015
@foreverlucas CentOS 7有iptables,也同时有firewalld
|
 |
39
kxmp May 14, 2015
iptables -I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 10 -j REJECT
|
 |
40
bigdogbigpig PRO iptables应该不错
|
 |
41
chenshaoju May 14, 2015
用UDP敲门……
|
 |
42
octopus_new May 14, 2015
firewall-cmd --zone=public --add-port=xxx/tcp --permanent
Firewalld真的是好用得不得了,谁用谁知道:) |
 |
43
9hills May 15, 2015 via iPad
重复解决不存在的问题。用密钥一了百了的事情
|
 |
44
lightening May 15, 2015
放在互联网上的机器用秘钥登录是常识。
|
 |
45
LazyZhu May 15, 2015 1
How to Secure SSH with Google Authenticator’s Two-Factor Authentication ...
http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/ https://www.linux.com/community/blogs/133-general-linux/783135-securing-ssh-with-two-factor-authentication-using-google-authenticator |
 |
46
zhengkai May 15, 2015 via Android
禁止密码登录就完了,其他操作都是在折腾自己
|
 |
47
dzxx36gyy May 15, 2015
1.换端口
2.换密钥登陆,关闭密码登陆 3.安装fail2ban 好了,你不用纠结了 |
 |
48
lingo233 May 15, 2015
我已经把端口改为了2333333
|
 |
49
lucifer4he May 15, 2015
我都是直接添加秘钥
|
|
50
lucifer4he May 15, 2015
然后禁用密码登陆
问题解决 |
 |
51
xiahai4shui May 15, 2015 via iPhone
两步验证
|
 |
52
likuku May 15, 2015
上次装 ubuntu server 时,发现默认会装这个:
sshguard 查到相关如下: Sshguard - Gentoo Wiki : https://wiki.gentoo.org/wiki/Sshguard/zh-cn 「sshguard 是一种入侵防御系统。 sshguard 解析服务器日志,检测恶意行为,然后通过防火墙规则禁止恶意用户登录。 sshguard 是用 C 写的,因此不需要额外的解析器。」 |
|
53
likuku May 15, 2015
当然,禁止 password auth,仅许可 密钥认证是王道。
|
 |
54
uuair May 15, 2015
@foreverlucas 第一,firewall也是防火墙啊。。第二,如果怕ssh攻击,你可以改成不允许密码登录,只能用key的方式,还可以换ssh的端口。
|
 |
55
quix May 15, 2015
这年头 ssh 还有敢用密码登陆的啊...
|
 |
56
bingx86 May 15, 2015
还是觉得应该禁用用户密码 SSH 登录
|
 |
57
timothyye May 15, 2015
禁止密码登录,改用证书,整个世界就清洁了
|
 |
58
moliliang May 15, 2015
对啊,大家都说了, 禁止密码登录,改用sshkey密钥登录就好啦。。。
|
 |
59
wuyadong May 15, 2015
换端口,禁root,基本就够了。
|
 |
60
orcusfox May 18, 2015
|
Select Language