V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
› DigitalOcean - SSD Cloud Servers
This topic created in 3700 days ago, the information mentioned may be changed or developed.
发现记录登录错误信息的 btmp log 文件加起来 100 多 M 了,每天的 secure log 都能有 20M 。。然后看了两个 log 文件发现一件很蛋疼的事:那么多天每天 20M 的记录基本上都是同一个 IP 在搞我:18③.3.202.10③
好在我目前是禁用了 root 登录用户名,而那个 ip 一直是傻傻的暴力我root用户的密码。所以现在问题来了:有啥法子能折腾下他么?(还是说装 fail2ban 或者改 ssh 的端口来一避了之?
Supplement 1 · Apr 1, 2016
拖了好久终于把我的措施总结完了。。所以append下。
禁止root登录、禁止密码登录、证书登录、更换登录帐号、更换SSH端口
大概配置可以参考:
服务器初始安全设置(CentOS 6.5)
另外@czb 提到的libpam-google-authenticator也很有趣,不过感觉这个比较麻烦,所以就没加上去了。
 |
1
kozora Mar 17, 2016
不用密码登陆 用密钥
|
 |
2
Tink PRO 密钥
|
 |
3
msg7086 Mar 18, 2016
为什么不装 fail2ban 呢?不装的结果就是 log 爆炸。
|
 |
4
TakanashiAzusa OP |
|
5
msg7086 Mar 18, 2016
@TakanashiAzusa fail2ban 可以大量减少尝试次数,为啥因为担心爆炸才不装?
PS: 用密钥吧, dropbox 或者类似的工具同步下就好。 |
|
6
kozora Mar 18, 2016
@TakanashiAzusa 我用的 onedrive 同步密钥存储目录
偷懒的结果就是。。。 GG |
 |
7
princeofwales Mar 19, 2016
以前也用 fail2ban ,无聊时翻下 fail2ban 的 log 看看都是哪里的 IP
现在直接改 sshd 默认端口了 |
 |
8
LightQuantum Mar 20, 2016
一般 get 新 vps 第一件事情就改 ssh 端口 到现在一年了,一片清净
|
 |
9
czb Mar 21, 2016 via Android
libpam-google-authenticator
|
 |
10
yywudi Mar 21, 2016
改 SSH 端口+密钥登陆+fail2ban
|
|
11
TakanashiAzusa OP @yywudi 这种情况还有必要用 fail2ban 么。应该直接被拒绝了吧?
|
Select Language