V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
meowoo
V2EX  ›  信息安全

公有云上没有公网 ip 的机器,有必要关闭 22 端口,改用其他端口么?

  •  
  •   meowoo · 2018-12-16 14:56:28 +08:00 · 3981 次点击
    这是一个创建于 2167 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近跟朋友讨论这个问题,机器只对一台部署机开了设置安全组规则可用 22 连接,拷贝文件远程重启,其他服务通过 nginx 代理。

    这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?

    请各位老哥指教一下。
    11 条回复    2018-12-16 20:10:22 +08:00
    avrillavigne
        1
    avrillavigne  
       2018-12-16 15:35:28 +08:00
    没明白,“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口?

    没有公网的机器不会被扫描到,要么堡垒机攻陷入侵内网,或设置了内网转发。有人的地方小心内部攻击,你自己的玩具就随便~

    我用到的安全设置
    1、改端口
    避开大部分脚本扫描
    2、使用 SSH 公钥登录
    云厂商都可以一键创建 SSH 公钥和绑定实例,安全性大大提高。
    3、使用 fail2ban
    设置一分钟内失败 5 次封禁 IP 24 小时。
    Hardrain
        2
    Hardrain  
       2018-12-16 15:51:27 +08:00
    SSH 建议用公钥,并完全停用键盘交互(密码)登录。

    其他的,比如改端口、port knocking 都不建议。
    因为这些只是将你的 SSH 服务放进一个迷宫,而不是加上一把足够坚固的锁。
    CallMeReznov
        3
    CallMeReznov  
       2018-12-16 15:54:32 +08:00
    别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.
    meowoo
        4
    meowoo  
    OP
       2018-12-16 15:57:18 +08:00
    @avrillavigne 是的,就指定了某一台主机可以用 22 端口连接,其他都不行,而这台主机也是内网中的,没有外部访问途径。
    meowoo
        5
    meowoo  
    OP
       2018-12-16 16:00:47 +08:00
    @Hardrain 是的,我也是这样考虑的,接手过来的时候都是用密码存储的,纯内网的,之前估计没考虑那么多,现在是涉及到公网了,所以就麻烦了。
    meowoo
        6
    meowoo  
    OP
       2018-12-16 16:04:33 +08:00
    @CallMeReznov 我自己的公网机器是瞬间爆炸,我回头看看那几台内网的,我的天。
    mattx
        7
    mattx  
       2018-12-16 16:43:44 +08:00
    1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
    2 使用 SSH 秘钥登录
    3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口

    以上的要配置起来, 也就 10 分钟的事情, 挺快的.
    meowoo
        8
    meowoo  
    OP
       2018-12-16 16:58:35 +08:00
    @mattx 我指的是内网的主机,这个 gfw 应该影响不到的把? 有几千台主机,感觉该写个脚本批量设置密钥了
    mattx
        9
    mattx  
       2018-12-16 17:05:09 +08:00
    @meowoo #8 内网的话感觉没必要, 设置秘钥确实可以做个脚本来处理下.
    flynaj
        10
    flynaj  
       2018-12-16 20:02:43 +08:00 via Android
    改端口防那些机器人无脑扫描
    meowoo
        11
    meowoo  
    OP
       2018-12-16 20:10:22 +08:00
    @flynaj 主要是内网机器,应该不会被扫描啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:03 · PVG 04:03 · LAX 12:03 · JFK 15:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.