首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Coding
V2EX  ›  Linux

建议大家 SSH 密码还是设复杂点吧,或者关闭密码登录, 只允许公钥登录

  •  
  •   qwerthhusn · 184 天前 · 8579 次点击
    这是一个创建于 184 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前看到 SSH 好像被异地登录,netstat 和 ps 去看,有一些奇怪的东西,然后一扫就这样了。现在正在看怎么杀。

    /tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
    /tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
    /tmp/meonga: Unix.Trojan.Agent-37008 FOUND
    /tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
    /usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
    /usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
    /usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
    /usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
    /usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
    /usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
    /usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
    /usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
    /usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
    /usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
    /usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND
    
    第 1 条附言  ·  184 天前
    https://medium.com/risan/upgrade-your-ssh-key-to-ed25519-c6e8d60d3c54
    http://blog.siphos.be/2015/08/switching-openssh-to-ed25519-keys/

    好像都很推荐 ED25519 的 Key,不过我感觉默认 RSA 的也行了,只要密钥长度在 2048 或者以上就行了。
    75 回复  |  直到 2019-07-05 21:49:21 +08:00
        1
    arloor   184 天前 via iPad
    trojan?
        2
    titanium98118   184 天前
    一直都是禁止密码登录的,但是否足够?
        3
    dorothyREN   184 天前   ♥ 1
    我用的 google 二次验证
        4
    VANHOR   184 天前
    +1
        5
    brust   184 天前   ♥ 1
    google 二次验证是什么意思
        6
    msg7086   184 天前
    怎么杀?重装就杀了。
    如果不关密码登录的话,那至少把 fail2ban 装上吧。
        7
    qwerthhusn   184 天前
    @titanium98118 应该没问题吧,只要控制好私钥别泄露就行。比如别人问你要 Key 让你能登他的,你别把公钥和私钥都给他就行。我看现在推荐的是 ED25519 256 位的密钥,不过大部分人(包括我)还是在用那种 RSA2048 位的。
        8
    qwerthhusn   184 天前
    @msg7086 要干净的话,那就重装系统呗,恨不得格盘重建 RAID,幸亏里面没太多数据,而且都是容器好备份迁移。
        9
    pxw2002   184 天前 via Android
    家里公网 ip 只有后三位会变
    服务器只允许我的 ip 访问所有端口
    其他 ip 只允许 80.443 端口
        10
    HuasLeung   184 天前 via Android
    量子计算没取得重大突破之前,强密码口令就 ok,暴力破解是极其困难的
        11
    jackmod   184 天前
    换端口,关密码,还可以考虑只通过代理访问(
        12
    HuasLeung   184 天前 via Android
    @HuasLeung 看看是不是系统安装的软件程序存在其他漏洞
        13
    qwerthhusn   184 天前
    @brust libpam-google-authenticator 在机器上装一个组件,配置上 Google 认证信息,然后登录的时候去 Google 验证一把(通过手机什么的)。这种只能用在个人的在国外的服务器。。。。我猜的
        14
    mostkia   184 天前
    我一直图方便没有关密码登录,每次登陆都有上万的爆破记录。。
    密码的话 18 位密码。。[狗头]所以还是大致放心的。从 ssh 爆破基本没什么可能性。
        15
    2exploring   184 天前
    我只允许 key + 2FA 登录,并且开 fail2ban。
        16
    webdisk   184 天前
    经过一层 VPN 后只允许密钥登陆
        17
    shilyx   184 天前
    每次登录都能发现几万次的失败的登录尝试
    换了 ssh 端口
    降低到了几十次非法尝试
        18
    qwerthhusn   184 天前
    @shilyx 大部分肉鸡只看 22,不过也有一些肉鸡是玩端口扫面的。我之前也遇到过
        19
    Caan07   184 天前   ♥ 1
    换端口;
    密钥加强再加密登录;
    禁止账户密码登录;
    因为不是固定 IP,不然我就仅限指定 IP 了。
        20
    wenzhoou   184 天前   ♥ 1
    自从我换了 ssh 端口了以后就再也没有被爆破过。
    结论,换端口足够了。
        21
    pxw2002   184 天前 via Android   ♥ 9
    还有个办法
    linux 换成 3389
    win 换成 22
    这样就好多了
    就算发送登录请求也没用
        22
    qwerthhusn   184 天前
    @pxw2002 Good idea
        23
    playnoa   184 天前 via Android
    只允许秘钥登录,加上 fail2ban,一次不对就永久封 IP
        24
    ohmyzsh   184 天前 via Android
    @pxw2002 为什么换 3389 就可以了?
        25
    crazytroll   184 天前 via iPhone
    @msg7086 非常同意 fail2ban 挂上 再换个端口
        26
    Rworld   184 天前
    有固定 IP 就防火墙限制 没有就使用 google 二次验证吧。
        27
    anubu   184 天前   ♥ 2
    常规操作:
    换端口;
    禁止 root 登录;
    fail2ban

    安全且方便:
    密码+MFA

    更安全:
    有密码的密钥

    可选:
    如果可能,限制登录 IP
        28
    sariya   184 天前 via Android
    如果要求不高如楼上说的,换高位端口足矣,我的换了之后直接从几万降到 0。。。有需要再加上 RSA、禁密码
        29
    sariya   184 天前 via Android
    @sariya 当然密码还是不能太短
        30
    Wyane   184 天前
    学习一下, 一直没把这个当回事,密码一直用的最简单的。。
        31
    Vegetable   184 天前
    @pxw2002 鬼才
        32
    mmtromsb456   184 天前
    其实使用
        33
    wtks1   184 天前 via Android
    fail2ban 装上,设置最大失败两次,一分钟扫描一次,封禁时间十几年,基本就没啥事了
        34
    mmtromsb456   184 天前
    @mmtromsb456 #32 手快一下子发出去了...
    其实使用如下参数就已经很足够了
    PermitRootLogin prohibit-password
    Port 8888(替换成你想要的端口)
    必要时 whitelist 即可
        35
    azh7138m   184 天前   ♥ 1
    走跳板姬呗,我买了一台阿里云华东,装好 mosh,每台机器都配跳板姬的密钥登录,我只要登录跳板姬就好,美滋滋。
    当然,22 我是不开的。
        36
    jiqing   184 天前
    @azh7138m #35 我也是这么操作的
        37
    wenzhoou   184 天前 via Android
    另外禁止 root 登录基本上是常识。
        38
    realpg   184 天前
    这还用建议?
    首先,不用 root 是常识了吧 ubuntu 之类的发行版 压根就不给你 root 密码,都是自己 zuo 才能弄出来
    其次,服务器的任何密码都得设复杂点也是常识把
    再次,服务器 ssh 不放默认端口上就能减少大量网络流量和 CPU 负载开销也算是个准常识了吧
        39
    Navee   184 天前 via iPhone
    开机第一件事:安装 fail2ban
        40
    qwerthhusn   184 天前
    @azh7138m 用跳板机的话有一个小问题就是,SFTP 操作比较麻烦
        41
    Cu635   184 天前
    @playnoa
    哪天自己密码忘了……
        42
    qwerthhusn   184 天前   ♥ 1
    @ohmyzsh 因为 3389 是 win 默认的远程桌面端口,肉鸡扫到 3389 可用,可能就试图连 Windows 那一套,肯定连不上的,殊不知其实是个 ssh 端口
        43
    yinzhuoqun   184 天前 via Android
    @wenzhoou 端口换掉,再加 fail2ban,基本没有可疑登录
        44
    catcalse   184 天前
    @qwerthhusn 自己欺骗自己吗?
        45
    liangzi   184 天前 via Android   ♥ 1
    曾经遇到过可疑登录 IP 地址指向国内两大云服务商 只有一个来自美国 我就呵呵了
        46
    oxoxoxox   184 天前
    换端口+fail2ban,就足够了,即使打开密码登陆,也不怕
        47
    wenzhoou   184 天前 via Android
    @yinzhuoqun 如果说要加一个屏障的话,我希望是 2FA。
        48
    nicevar   184 天前
    光密码复杂有什么用,你得限制登陆尝试次数
    另外你改 3389 的做法其实也是掩耳盗铃,真的骗你自己,就算小白 telnet 一下都能识别
        49
    ucaime   184 天前
        50
    mostkia   184 天前   ♥ 1
    @pxw2002
    win:蒋英语!
    linux:蒋国语!
    入侵者:猝
        51
    qwerthhusn   184 天前
    @ucaime 国内有什么厂家能搞这种吗?因为 server 在国内,我刚搜了一下,没有什么
        52
    aborigine   184 天前
    其实一般换个端口就好很多了
        53
    xpresslink   184 天前
    一般情况下 SSH 端口号都是换成 5 位数,直接用 IP 白名单+公钥又省事又安全。
    再严格一点加个谷歌双因子认证也就足够了。
        54
    ETO   184 天前
    @mostkia 还有蒋芳研,啥的呢
        55
    fvckDaybyte2   184 天前 via iPhone
    @qwerthhusn 现在端口扫描都带检测服务功能了……
        56
    olaloong   184 天前 via Android
    @pxw2002 哈哈,我一直都是这么干的
        57
    andylsr   184 天前 via Android
    @mostkia 改端口,扫不到了也就不会爆破了
        58
    webshe11   184 天前
    换端口 + 只允许密钥登录 + fail2ban 路过
        59
    Hardrain   184 天前 via Android
    赞同所有用 Pub key(并停用键盘交互)的回复
    如果用 Google authenticator 之类的 TFA 则更好

    反对一切改端口的回复,这是没用的方法。防得了大批量扫描,完全不能防御具有针对性的攻击
        60
    h175h32   184 天前
    @pxw2002 你这个办法不错
        61
    runtu2019   184 天前
    一般是部署 ssl 加密代理在上面进行访问,密钥一都要都在 2048 以上,绝不开放 ssh 端口,暴力破解 ssh 虽然破解不了强口令和密钥,但是被恶意的暴力破解特别占 cpu,浪费资源。
        62
    Aixtuz   184 天前
    我用的 Krypton,禁止密码 + 手机端允许密钥才能连上。
        63
    nicevar   184 天前   ♥ 1
    上面那些说 linux 换成 3389 的太天真了,还有一堆人赞成这个做法,你不做其他处理是个端口扫描程序根据返回信息就能判断出来你是不是 ssh
        64
    daibingsong   184 天前
    @pxw2002 666
        65
    alfchin   184 天前 via Android   ♥ 1
    @ohmyzsh 假装自己是 rdp 服务
        66
    xrlin   184 天前
    系统刚装好就屏蔽密码登录了,只允许 key 登录。
        67
    playnoa   183 天前 via Android
    @Cu635 sudo 回提升提示密码,如果机器不长登录的话,那么一些重要信息应该记笔记
        68
    xmi   183 天前
    新建一个和 root 一样权限的账户然后把 root 账户登陆禁用掉
        69
    c4f36e5766583218   183 天前
    @pxw2002 #21 好像没用的,nmap 可以探测系统版本的吧
        70
    sodadev   183 天前 via iPhone
    @pxw2002 请问家里怎么申请公网 ip 呢
        71
    pxw2002   183 天前 via Android
    @sodadev 我当时给电信客服打电话,说我家里有老人,小孩儿需要安装远程监控,需要公网 IP 连接,然后就给了
        72
    qwerthhusn   183 天前
    @pxw2002 这个是“借口”还是真的?我家用的 360 摄像机,没有公网也能正常用啊
        73
    Cu635   183 天前
    @qwerthhusn
    其实已经是还没过去几年的事情了,稍微旧一点的这种家庭监控设备就需要公网 ip 才能正常运作。现在没有公网 ip 也能正常用的消费级家庭监控设备是很新的。

    @playnoa
    一般认为不应该记密码……
        74
    qbqbqbqb   160 天前
    @qwerthhusn 随便什么服务器都可以用,Google Authenticator 是纯离线的动态密码,完全不需要连接 Google 服务。
        75
    qbqbqbqb   160 天前
    @qwerthhusn ssh,scp,sftp 都有一个-o ProxyJump=<username>@<host>:<port>的参数可以跨越跳板机,还可以通过编写.ssh/config 文件自动跨越多层跳板机,并不麻烦。如果是使用 Windows 上的各种 GUI 客户端,里面一般也会有填写 Gateway host/Jump host 的地方。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1168 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 27ms · UTC 18:39 · PVG 02:39 · LAX 10:39 · JFK 13:39
    ♥ Do have faith in what you're doing.