This topic created in 3928 days ago, the information mentioned may be changed or developed.
 |
1
msg7086 Aug 8, 2015
其实主要就是证书登录+banIP
|
 |
2
hbkdsm Aug 8, 2015 via Android
赞
|
 |
3
anubiskong Aug 8, 2015
我是这样做的:
改ssh端口, 禁ping, 只保留必要端口其他的封, 不允许用户名密码登陆只能用秘钥登陆 求高手给意见 |
 |
4
imnpc Aug 8, 2015
我主要使用证书登录和 google的双因素验证
|
 |
5
dommyet Aug 8, 2015 via Android
端口没改 root只允许证书登录 但是因为那个机器的非root用户有用密码登录的需求 来碰密码的以为root也是用密码的 每天都有来自一两个IP的几万次碰撞 后来就用fail2ban直接封禁24小时
|
 |
7
exuxu Aug 8, 2015
如果是固定IP的话可以限制IP登陆
|
 |
8
invite Aug 8, 2015
该端口,只是减少攻击可能性,针对全端口扫描,是没意义的。
|
 |
10
xiaket Aug 8, 2015
一个另外会被忽视的问题是, agent forward一定不要默认打开.
|
 |
11
wbsdty331 Aug 8, 2015
关闭root登录,只用证书 限制IP
|
 |
12
402645707 Aug 8, 2015 via Android
@skyworker 表示我的一堆ss日志里天天出现同一个加拿大ip在试密码
shadowsocks监听22端口难道扫描器识别不出来吗 |
 |
13
47jm9ozp Aug 8, 2015
证书登录,两步验证,fail2ban都上了。。
|
 |
14
fuxkcsdn Aug 8, 2015 via iPhone
|
 |
15
alexyangjie Aug 8, 2015
证书验证+二步验证+换端口+Fail2ban+限定账户登录
|
 |
16
wclebb Aug 8, 2015
还以为是管理员
|
 |
17
Mark24 Aug 8, 2015 via Android
赞
|
 |
18
orcusfox Aug 8, 2015
关密码+私钥登陆是必须的
不过我换端口还是不方便,我把fail2ban封禁阈值设到最小,封禁时间设到最大,反正也没有必要解封,效果还可以。  |
 |
19
rainy3636 Aug 8, 2015
PermitRootLogin without-password
ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no |
 |
20
AVC Aug 8, 2015 via Android
fail2ban最大尝试2次,失败ban 1000000000秒all ports。反正都是用xshell或者juicessh密码都是保存不会出错。
|
 |
21
crazycen Aug 8, 2015
关闭密码登录,使用证书登录才是出路!
|
 |
22
ychongsaytc Aug 8, 2015
改端口 <<<< IP Scanner / ScanPort
|
 |
23
gdtv Aug 8, 2015
我曾经用证书登录,后来丢失证书了,然后就没有然后了
|
 |
24
run2 Aug 9, 2015
端口必须改啊,不是安不安全的事,一天被扫很烦啊,那么多log
加2fa : TOTP / FIDO U2F也是很爽的 rsa和dsa 哪个安全点 ? 话说github已经建议4096的rsa了 |
|
25
47jm9ozp Aug 9, 2015  1
|
 |
28
vibbow Aug 10, 2015
https://pic.vsean.net/di/T87C/CMAp6xRVEAAl3pm.png
用Hipchat + PHP做的SSH登录通知 |
 |
29
likuku Sep 11, 2015
只改端口就以为安全.....土羊,土森破
|
Select Language