ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能？

fail2ban

sshguard 更优

用 ssh key 也行

默认无拒绝，所以有一些速度很快的工具，内网的话可以默认为 10 位内弱密码容易破

设置公钥登录并禁止密码登录，基本上一劳永逸了

不设置用户密码就行了🐶

denyhosts

我刚刚在我的腾讯轻量服务器做了这个功能，首先 hosts.deny 拒绝所有 ssh 和 sftp，然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢？直接定时十分钟跑脚本分析 auth.log 日志，超过一定次数直接 iptables input drop

iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
可以搜一下

直接关闭密码登录

@Ariver Port Knocking ？

@yeqizhang 为啥要把 fail2ban 这么好用的已有的轮子自己重新造一遍

可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.


另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码).

@Ariver 我这也有个骚操作，可以不开放任何 tcp 端口，只开放 udp 出站，这种情况下接入

不开放密码登录不就行了。
要更强点就配置 WireGuard，SSH 只开放内网登陆，登录时候必须 WireGuard+SSH 私钥。

@iBugOne 主要一开始我搜到的解决办法是 hosts.deny，脚本往这文件里禁了一堆 ip 觉得不爽，就想到直接把国外的都禁了，但是 ip 库太大也不全，找到一个国内省份的 ip 库，就想只放开几个省的就行了，结果这几个省还是有人搞事情，就想着 iptables 来弄了。权当花了点时间了解了些东西

fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。

我选择关掉密码登录，只用 pubkey 。
如果真有头铁爆破的，估计我的服务器已经被 D 到要关机了。

@Osk Desktop 默认没安装 ssh-server 吧？至于 Server，初始化总得用吧？或者用 cloud-init 做初始化？

@yeqizhang 你确定 iptables 导这么多不影响性能吗，搜了下国内有 6000+个段

换个端口