国内云服务器怎么做 ssh 安全防护

我们的方法：

1. 只允许跳板机登录
2. 跳板机要用 vpn 登录

禁用密码登陆，通过跳板机控制好证书

不要搞弱密码, SSH 非常安全, 不要庸人自扰, 随机一串大小写特殊字符的密码, 超级计算机出马都没用

@anonydmer VPN 有什么推荐的方案吗？
@huangmingyou 想请教一下，跳板机怎么才算控制好证书？如果是多人协作呢？有推荐的方案吗？

同意 4 楼的。
openssh 的真正有危害性的严重漏洞好像就那几个，打好补丁的情况下，强密码配合 fail2ban 即可，只要密码不泄露，就无需过多其他忧虑。
另外个人认为其实大部分情况下做好管理的密码，比证书更安全。存放了证书的个人计算机，它的防护往往是更弱，漏洞更多的。

改默认端口，用公私钥对登录

@zlowly 证书也可以加密码啊， 莫非大家用证书都用的无密码模式。

禁止默认账户（云服务厂商的用户）
实在需要登陆的时候 vnc 登陆
善于使用安全组的话 关闭所有 ssh 的端口 需要的时候通过 api 或者页面再打开


@zlowly 部分同意 但是密钥都能泄漏的场景密码一般也能得到 但是密码能获取的场景密钥不一定能得到 因为刚接触服务器的时候开 22 被一堆地址同时扫过 ssh 所以个人感觉加密的密钥才是相对安全的

禁止 root 远程登录，卸载 sudo ，需要提权时预先 su root 并使用定时更换的密码（我是 cron.daily 对当前日期取 sha1 设为密码）

@anonydmer 谢谢，只留一台跳板机入口确实是个好主意

@mineralsalt 主要是原来有一台计算云服被攻击用来挖矿了，当时那台机器开了公网 22 和 3306 ，密码也不算简单，所以想上 v2 来问下

修改默认端口+fail2ban+ssh 密钥对，难道还不够？

@zlowly 谢谢指导，没试过 fail2ban ，回去研究一下

@yaoyao1128 谢谢指导，ssh 端口全禁，通过页面打开稍微麻烦了点，api 可以考虑一下。另外请教下怎么看自己的端口有没有被扫过

@Nazar1te 扫端口不太了解了 我是看 ssh 日志和 fail2ban 的列表出现一堆……阿里云不太了解轻量 普通的云服务器安全组可以用 app 控制 api 的话 key 一定要保存好

IP 白名单

《如何隐藏管理端口》 github.com/EtherDream/toh/wiki/%E5%A6%82%E4%BD%95%E9%9A%90%E8%97%8F%E7%AE%A1%E7%90%86%E7%AB%AF%E5%8F%A3

@yaoyao1128
@steptodream
在我接触的环境里，空 passphrase 并不少见，弱 passphrase 暴力破解更是容易，当然这和各人安全防范意识相关。
而且常常为了使用方便，都用各种 agent 先 load 私钥，理论上就存在可被窃取的安全隐患。
安全木桶上短板越多越不安全啊。

当然安全风险还是要自己根据自己环境评估的，在不和互联网联通的内部网络我就是用私钥的。

@zlowly 主要是 key 的话 攻击手段只能是针对现有正在使用的设备进行攻击 即使有了 key 也不能无差别的攻击 而密码的话 攻击点可以是多个 无差别攻击的人只需要随便尝试 而 key 丢失场景我觉得基本上是你电脑已经中招了 如果是用 agent 的话能想到窃取 key 的人一定能想到窃取密码和服务器地址 而不是被 agent 得到的话一般得到文件也不一定能知道密码和地址（ ps 个人觉得 ssh 的 knownhosts 很不安全）