闲置的云服务器有近 20w 的 sshd 登陆失败的记录

买的本来想放 blog 的云服务器，都闲置了好久了，端口不是 22，很少登上去看，之前印象很清净，只有一堆恶意 80 443 端口的。

今天偶然发现一堆失败记录，之前吐槽恶意访问的时候有 v 友说 fail2ban，所以当时也是顺带做了 sshd 登陆失败的 ip ban 的，但好像没什么效果毕竟发现很多尝试的记录而且还在继续尝试。

linux 比较生疏，v 友们我需要做什么应对措施比较好呢？

hoyixi

2020-11-29 19:41:31 +08:00

fail2ban 设置 sshd 失败 3 次（或者更少，但是小心自己登错被 ban ）直接 ban 该 IP 至少一个小时。对方有足够多 IP，就让对方尽情试好了

msg7086

2020-11-29 20:24:27 +08:00

说改端口有效的，我一个 ssh 改到 10000 以上端口的机器天天被人连上试密码。

opengps

2020-11-29 20:35:16 +08:00

@msg7086 你是不是装上了 11211 之类其他服务的端口号。
改端口确实有效，很多扫描器只搜索默认端口，能跟着端口找的你，如果不是碰巧，那么更像是定向针对你

tojonozomi

2020-11-29 20:45:28 +08:00

看了帖子之后，去自己闲置的机器上看了下，被试了 10w+次还行
已经禁止掉密码登录了

indev

2020-11-29 23:32:47 +08:00

虽然没啥太大的影响，但看着日志很烦。
所以我就在防火墙里设置 ip 白名单，只允许信赖的 ip 或 ip 段可以连接 ssh 的端口。

laminux29

2020-11-30 00:20:32 +08:00

1.不需要改端口，骗自己。密码设置为复杂的强密码就行了。

2.更新、漏洞补丁一定要及时升级。

3.单入口有被 0day 的风险，可以通过多层异构入口来降低被连续 0day 的风险，但也只是降低，没办法 100%阻止，万一哪天这一整套同时被 0day 。

hawhaw

2020-11-30 07:34:04 +08:00

改端口比不改强，但最好是封 ping，因为很多扫描是首先 ping 一圈。
还有种高级的用法是你连之前需要先 ping 一个特殊包，服务器才打开相应端口，你才能连

elfive

2020-11-30 07:45:43 +08:00

我的裙晖天天被日，我的做法是，配置错一次，永久封禁，相关账号一律 PublicKey 登陆……而且根据来访者 ip 地址，我已经锁定了两个区域，一个在北京，一个在山东，均为联通宽带用户。
因为我就是朋友间的私人服务器，他们用的都是电信，所以我完全可以直接屏蔽掉所有联通的 ip 。甚至只允许省内电信访问。
其实，我也知道 VxN 访问最直接，主要是我看着那些人一个一个 ip 被 ban 觉得很搞笑。

Mithril

2020-11-30 08:44:02 +08:00

难道只有我一个人是直接用防火墙规则封了所有端口，只用网页 terminal 登录的么。。。
除非特别麻烦的活，到时候临时开条规则就行了。
主要是那么多 log 看着太烦了。

raptor

2020-11-30 09:27:00 +08:00

基本上改端口能去掉 90%以上的扫描，禁止 ROOT 登录又能去掉一大部分，再关闭密码登录以后，fail2ban 每天就只有一两个 IP 被 BAN 的了。

攻击者也要考虑的成本的嘛，除非你的网站真的值得他们花这个成本去弄，那你估计也不差钱，可以上更好的商业解决方案了。

scegg

2020-11-30 09:45:05 +08:00

没所谓的。只要你的密码不是在密码表上的，而且你也不是重点目标，那就是一个“常规闲人扫描”，对你服务器的影响也几乎可以忽略。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/730298

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.