密钥登陆应该相当安全了吧，还需要装 fail2ban 之类吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

This topic created in 3945 days ago, the information mentioned may be changed or developed.

或者还有什么建议的？

fail2ban

登陆

钥

12 replies • 2015-07-10 10:28:52 +08:00

402645707

Jul 9, 2015 via Android

22端口开shadowsocks
ssh改到25端口

geeklian

Jul 9, 2015

密钥很安全了，但不用fail2ban，你的日志会爆炸=.=

alect

Jul 9, 2015

ssh禁用root登录并且改端口才是最安全的

Daddy

Jul 9, 2015

@geeklian 那不怕fail2ban占资源吗？尤其128内存的小VPS的话

undeflife

Jul 9, 2015

@Daddy fail2ban是按设置定时扫描解析日志的

sinxccc

Jul 9, 2015

@402645707
@alect

我总感觉改端口没什么用的感觉，扫一下照样能扫出来…

402645707

Jul 9, 2015 via Android

@sinxccc 一般都是批量22端口
除非你的ip广为人知
扫描太费时间
而且ss也不具有明显的协议性，有点黑洞路由的特征
很难被认出来

ryd994

Jul 9, 2015 via Android

@sinxccc 有心要黑你，怎么样都会有办法
然而遇到的还是小学生多，换了端口之后还没几个人来扫。而且说到底安全性又不取决于端口，只是log看着碍眼而已

tini25

Jul 9, 2015

其实就算让它穷举，被破解的几率也很小吧

msg7086

Jul 9, 2015

@alect
@sinxccc
改端口只是辅助，不能作为主要安全手段。

@Daddy
相比sshd不停fork再exit一天几万次，fail2ban的资源占用并不算过分吧。

johnnyR

Jul 9, 2015

@sinxccc 改到1W以上扫到的几率会下降很多的

Busy

Jul 10, 2015

首先明了一点，并非 ssh 安全做足了，你的服务器就安全无忧了。如果被定点攻击，被拿到 root 的，反而不是通过 ssh，当然 ssh 弱口令除外。

单就 ssh 而言，禁 root，禁密码，改端口以后，除非你的私钥被人家拿到，否则不用担心。