闲置的云服务器有近 20w 的 sshd 登陆失败的记录

2020-11-29 13:40:26 +08:00

way2create

买的本来想放 blog 的云服务器，都闲置了好久了，端口不是 22，很少登上去看，之前印象很清净，只有一堆恶意 80 443 端口的。

今天偶然发现一堆失败记录，之前吐槽恶意访问的时候有 v 友说 fail2ban，所以当时也是顺带做了 sshd 登陆失败的 ip ban 的，但好像没什么效果毕竟发现很多尝试的记录而且还在继续尝试。

linux 比较生疏，v 友们我需要做什么应对措施比较好呢？

7923 次点击

所在节点

信息安全

55 条回复

BrettD

2020-11-29 13:54:39 +08:00

改成公钥登陆，一劳永逸

opengps

2020-11-29 14:07:26 +08:00

公网扫描器一大堆，对外只开通业务必须的端口，比如 web 用的 80
管理用的 22，3389 改成非常规端口
数据服务用的端口比如 3306，1433，6379 尽可能避免对公网开放，确实要开放则通过安全组改下端口，限制下 ip 白名单

firefox12

2020-11-29 14:15:58 +08:00

改端口是必须的

codyfeng

2020-11-29 14:34:39 +08:00

> 好像没什么效果
是不是改了 sshd 端口后，没有对应更改 fail2ban 封的端口？

opengps

2020-11-29 14:49:02 +08:00

fail2ban 可以针对来自单个 ip 的多次尝试，没法针对来自全网扫描器的不同 ip 的各自尝试

jim9606

2020-11-29 14:49:12 +08:00

那玩意直接忽略就好，就当是豫州背景辐射。
反正我是封掉密码登录的。
你要自信地相信 OpenSSH 是目前最注重安全性的开源软件。

unixeno

2020-11-29 15:29:56 +08:00

不要用弱口令就行了

Lemeng

2020-11-29 16:10:13 +08:00

管他干啥，用的时候没问题。没耽误，就行了

way2create

2020-11-29 16:18:36 +08:00

@BrettD @unixeno 我还是密码登陆额弱口令倒不算
@opengps 是啊对这种扫描的封了一大堆也白搭我目前是密码登陆不算弱口令常用端口都改了端口只开放了必须的只许本地监听的也没开公网访问就是自己 Linux 不是很熟看到这么多记录来问一下密码登陆的情况下是否有必要做些什么措施
@codyfeng fail2ban 有 ban ip 只是这是不同的 ip
@firefox12 那些常用的端口最开始就改了

sjmcefc2

2020-11-29 16:42:16 +08:00

有什么措施可以可视化这些非法登陆呢

codyfeng

2020-11-29 16:43:01 +08:00

@way2create #9
1. 不知道你的配置，据我所知 fail2ban 默认 sshd jail 只 ban port 22，因此如果你的 sshd port 不是 22 有可能相当于没 ban 。查一下 /var/log/fail2ban.log 有没有“already banned”可以验证。
2. 可以用 port knocker 隐藏 sshd port 。

lewis89

2020-11-29 17:17:53 +08:00

不要用密码全改成公钥就完事了 4096 加密的让它去破吧

freecloud

2020-11-29 17:30:27 +08:00

改个端口，用私钥登录吧。

Mac

2020-11-29 17:31:15 +08:00

fail2ban 直接封 10000 年。。

zpfhbyx

2020-11-29 17:59:58 +08:00

2fa 啊

ZRS

2020-11-29 18:24:49 +08:00

关密码换端口

Caan07

2020-11-29 18:41:03 +08:00

我现在明白了，要不就 openssl 出问题，要不就我自己发傻把 public key 文件发给别人，4096 加密的，端口就 22，禁止账户仅仅 public key 了，要解密就解密去吧。

ntgeralt

2020-11-29 19:12:28 +08:00

群晖公网一开 ssh 和主动防护，每 3 秒就一个尝试登陆失败提示
所以，10000 端口以下的太好扫描，都改到 5w 端口以上。

FS1P7dJz

2020-11-29 19:22:13 +08:00

某楼说当成宇宙背景辐射,哈哈哈这个太贴切了吧

impl

2020-11-29 19:36:10 +08:00

换端口就行了

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/730298

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.