vps：一种安全访问 ssh 的方法

去掉前奏直接来：
1 、在 vps 对应管理端在安全组中拒绝 22 端口访问
2 、使用端口反弹工具进行反向连接访问

访问路径：sshclient-》 proxy-〉 vps 反向连接隧道-》 vps localhost：22
反向隧道工具有很多选择，按个人喜好。推荐一个自撸工具 sg：github.com/lazy-luo/smarGate

如此可以做到:无法直接访问 vps，使用自己的代理可以访问

boris93

2020-11-23 12:27:48 +08:00

but why?
复杂密码，或者证书，已经可以实现足够的安全性
还不够的话可以改掉端口，这就足以挡掉那些自动扫描脚本了

wslzy007

2020-11-23 12:34:35 +08:00

强密码证书类的挡不住软件漏洞

其实这是个通用思路，关键是将私有服务器的公共访问私有化，等同于内网访问，提升安全级别

deorth

2020-11-23 12:57:54 +08:00

其实就是多加了一层认证手段
我用类似的方法来访问 web/rdp/vnc 等弱密码保护的服务，但是 ssh 就没有用，原因同#1，ssh 安全性经过合适的配置后，已经够强了

oxromantic

2020-11-23 13:00:15 +08:00

实用性很低，不如只开放 22 端口给自己的 ip，别和我说这个也有漏洞，这个漏洞比你用反向隧道漏洞几率小多了

Jirajine

2020-11-23 13:03:26 +08:00

@deorth 你说的那些也没必要，只要 ssh 安全，其他的可以用 ssh 端口转发出来。

boris93

2020-11-23 13:07:27 +08:00

怕软件漏洞那就封锁所有入站连接吧
别的东西也有漏洞

wslzy007

2020-11-23 13:12:17 +08:00

仁者见仁吧，安全的事，你要没摊上那永远就是别人的事。。。
网络远程攻击 /渗透主要是钉的蛋壳上的缝，对于部分私有应用，完全可以只监听 localhost，去掉对外监听也就断了被攻击的路
漏洞的事不谈也罢，毕竟过于触目惊心

boris93

2020-11-23 13:19:43 +08:00

@livid 看了眼楼主的发帖历史，有多个类似帖子提到他的 smarGate，是否算是推广？

wslzy007

2020-11-23 13:23:37 +08:00

@boris93 很久没推广了，简单工具而已，反正也不打算收费。大家忽略 sg 即可，只讨论安全

wslzy007

2020-11-23 13:26:46 +08:00

本帖是有感而发，源自“小米内网穿透事件”的帖子，对于个人而言比较推崇“内网”到“内网”的安全访问。

locoz

2020-11-23 13:26:49 +08:00

说白了这就跟用 zerotier 或其他 VPN 工具连接没啥差别，而且还更麻烦些

wslzy007

2020-11-23 13:31:13 +08:00

@locoz
端口映射和类 vpn 工具是不同的，vpn 是网络二层打通，相当于直接开放子网，一般是采用 tun/tap 驱动。
端口映射就是单纯的点到点的打通，看使用场景

chengzi168

2020-11-23 13:31:55 +08:00

忍不住小声问一句，SSH 是哪几个单词的缩写。。。

deorth

2020-11-23 13:52:05 +08:00

@Jirajine 之前用了一段时间的 ssh 转发端口，但是并不方便，需要针对每一个端口起一个 ssh 进程，还会经常断开。目前使用 v2ray 转发端口，web 类的服务则不需要转发端口，访问时走 socks5/http 代理即可，只需要在客户端侧的内网中有一个 v2ray 进程，还可通过旁路由+透明代理实现客户端机器无需配置，这都是 ssh 转发无可比拟的

DoctorCat

2020-11-23 14:16:05 +08:00

你这个方案太麻烦了，我目前在用 autossh + 腾讯云，足以解决问题。安全可以充分利用安全组策略，放你自己的 IP 白名单

Maboroshii

2020-11-23 14:16:33 +08:00

proxy 被破了怎么办？中间这么长一串不还是相当于透明代理么，不明白意义在哪。除非改成私有协议

wslzy007

2020-11-23 14:20:14 +08:00

@Maboroshii
proxy 无对外服务端口，除非自身不稳定。这个无门槛，也可以自己写一个代理
@DoctorCat
ip 白名单不好做，客户端都是动态 ip

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/728269

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.