首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

建议大家 SSH 密码还是设复杂点吧,或者关闭密码登录, 只允许公钥登录

  •  
  •   qwerthhusn · 4 天前 · 6998 次点击

    之前看到 SSH 好像被异地登录,netstat 和 ps 去看,有一些奇怪的东西,然后一扫就这样了。现在正在看怎么杀。

    /tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
    /tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
    /tmp/meonga: Unix.Trojan.Agent-37008 FOUND
    /tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
    /usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
    /usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
    /usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
    /usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
    /usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
    /usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
    /usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
    /usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
    /usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
    /usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
    /usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND
    
    第 1 条附言  ·  4 天前
    https://medium.com/risan/upgrade-your-ssh-key-to-ed25519-c6e8d60d3c54
    http://blog.siphos.be/2015/08/switching-openssh-to-ed25519-keys/

    好像都很推荐 ED25519 的 Key,不过我感觉默认 RSA 的也行了,只要密钥长度在 2048 或者以上就行了。
    73 回复  |  直到 2019-06-12 16:50:34 +08:00
        1
    arloor   4 天前 via iPad
    trojan?
        2
    titanium98118   4 天前
    一直都是禁止密码登录的,但是否足够?
        3
    dorothyREN   4 天前
    我用的 google 二次验证
        4
    VANHOR   4 天前
    +1
        5
    brust   4 天前   ♥ 1
    google 二次验证是什么意思
        6
    msg7086   4 天前
    怎么杀?重装就杀了。
    如果不关密码登录的话,那至少把 fail2ban 装上吧。
        7
    qwerthhusn   4 天前
    @titanium98118 应该没问题吧,只要控制好私钥别泄露就行。比如别人问你要 Key 让你能登他的,你别把公钥和私钥都给他就行。我看现在推荐的是 ED25519 256 位的密钥,不过大部分人(包括我)还是在用那种 RSA2048 位的。
        8
    qwerthhusn   4 天前
    @msg7086 要干净的话,那就重装系统呗,恨不得格盘重建 RAID,幸亏里面没太多数据,而且都是容器好备份迁移。
        9
    pxw2002   4 天前 via Android
    家里公网 ip 只有后三位会变
    服务器只允许我的 ip 访问所有端口
    其他 ip 只允许 80.443 端口
        10
    HuasLeung   4 天前 via Android
    量子计算没取得重大突破之前,强密码口令就 ok,暴力破解是极其困难的
        11
    jackmod   4 天前
    换端口,关密码,还可以考虑只通过代理访问(
        12
    HuasLeung   4 天前 via Android
    @HuasLeung 看看是不是系统安装的软件程序存在其他漏洞
        13
    qwerthhusn   4 天前
    @brust libpam-google-authenticator 在机器上装一个组件,配置上 Google 认证信息,然后登录的时候去 Google 验证一把(通过手机什么的)。这种只能用在个人的在国外的服务器。。。。我猜的
        14
    mostkia   4 天前
    我一直图方便没有关密码登录,每次登陆都有上万的爆破记录。。
    密码的话 18 位密码。。[狗头]所以还是大致放心的。从 ssh 爆破基本没什么可能性。
        15
    2exploring   4 天前
    我只允许 key + 2FA 登录,并且开 fail2ban。
        16
    webdisk   4 天前
    经过一层 VPN 后只允许密钥登陆
        17
    shilyx   4 天前
    每次登录都能发现几万次的失败的登录尝试
    换了 ssh 端口
    降低到了几十次非法尝试
        18
    qwerthhusn   4 天前
    @shilyx 大部分肉鸡只看 22,不过也有一些肉鸡是玩端口扫面的。我之前也遇到过
        19
    Caan07   4 天前   ♥ 1
    换端口;
    密钥加强再加密登录;
    禁止账户密码登录;
    因为不是固定 IP,不然我就仅限指定 IP 了。
        20
    wenzhoou   4 天前   ♥ 1
    自从我换了 ssh 端口了以后就再也没有被爆破过。
    结论,换端口足够了。
        21
    pxw2002   4 天前 via Android   ♥ 8
    还有个办法
    linux 换成 3389
    win 换成 22
    这样就好多了
    就算发送登录请求也没用
        22
    qwerthhusn   4 天前
    @pxw2002 Good idea
        23
    playnoa   4 天前 via Android
    只允许秘钥登录,加上 fail2ban,一次不对就永久封 IP
        24
    ohmyzsh   4 天前 via Android
    @pxw2002 为什么换 3389 就可以了?
        25
    crazytroll   4 天前 via iPhone
    @msg7086 非常同意 fail2ban 挂上 再换个端口
        26
    Rworld   4 天前
    有固定 IP 就防火墙限制 没有就使用 google 二次验证吧。
        27
    anubu   4 天前   ♥ 2
    常规操作:
    换端口;
    禁止 root 登录;
    fail2ban

    安全且方便:
    密码+MFA

    更安全:
    有密码的密钥

    可选:
    如果可能,限制登录 IP
        28
    sariya   4 天前 via Android
    如果要求不高如楼上说的,换高位端口足矣,我的换了之后直接从几万降到 0。。。有需要再加上 RSA、禁密码
        29
    sariya   4 天前 via Android
    @sariya 当然密码还是不能太短
        30
    Wyane   4 天前
    学习一下, 一直没把这个当回事,密码一直用的最简单的。。
        31
    Vegetable   4 天前
    @pxw2002 鬼才
        32
    mmtromsb456   4 天前
    其实使用
        33
    wtks1   4 天前 via Android
    fail2ban 装上,设置最大失败两次,一分钟扫描一次,封禁时间十几年,基本就没啥事了
        34
    mmtromsb456   4 天前
    @mmtromsb456 #32 手快一下子发出去了...
    其实使用如下参数就已经很足够了
    PermitRootLogin prohibit-password
    Port 8888(替换成你想要的端口)
    必要时 whitelist 即可
        35
    azh7138m   4 天前   ♥ 1
    走跳板姬呗,我买了一台阿里云华东,装好 mosh,每台机器都配跳板姬的密钥登录,我只要登录跳板姬就好,美滋滋。
    当然,22 我是不开的。
        36
    jiqing   4 天前
    @azh7138m #35 我也是这么操作的
        37
    wenzhoou   4 天前 via Android
    另外禁止 root 登录基本上是常识。
        38
    realpg   4 天前
    这还用建议?
    首先,不用 root 是常识了吧 ubuntu 之类的发行版 压根就不给你 root 密码,都是自己 zuo 才能弄出来
    其次,服务器的任何密码都得设复杂点也是常识把
    再次,服务器 ssh 不放默认端口上就能减少大量网络流量和 CPU 负载开销也算是个准常识了吧
        39
    Navee   4 天前 via iPhone
    开机第一件事:安装 fail2ban
        40
    qwerthhusn   4 天前
    @azh7138m 用跳板机的话有一个小问题就是,SFTP 操作比较麻烦
        41
    Cu635   4 天前
    @playnoa
    哪天自己密码忘了……
        42
    qwerthhusn   4 天前   ♥ 1
    @ohmyzsh 因为 3389 是 win 默认的远程桌面端口,肉鸡扫到 3389 可用,可能就试图连 Windows 那一套,肯定连不上的,殊不知其实是个 ssh 端口
        43
    yinzhuoqun   4 天前 via Android
    @wenzhoou 端口换掉,再加 fail2ban,基本没有可疑登录
        44
    catcalse   4 天前
    @qwerthhusn 自己欺骗自己吗?
        45
    liangzi   4 天前 via Android   ♥ 1
    曾经遇到过可疑登录 IP 地址指向国内两大云服务商 只有一个来自美国 我就呵呵了
        46
    oxoxoxox   4 天前
    换端口+fail2ban,就足够了,即使打开密码登陆,也不怕
        47
    wenzhoou   4 天前 via Android
    @yinzhuoqun 如果说要加一个屏障的话,我希望是 2FA。
        48
    nicevar   4 天前
    光密码复杂有什么用,你得限制登陆尝试次数
    另外你改 3389 的做法其实也是掩耳盗铃,真的骗你自己,就算小白 telnet 一下都能识别
        49
    ucaime   4 天前
        50
    mostkia   4 天前   ♥ 1
    @pxw2002
    win:蒋英语!
    linux:蒋国语!
    入侵者:猝
        51
    qwerthhusn   4 天前
    @ucaime 国内有什么厂家能搞这种吗?因为 server 在国内,我刚搜了一下,没有什么
        52
    aborigine   4 天前
    其实一般换个端口就好很多了
        53
    xpresslink   4 天前
    一般情况下 SSH 端口号都是换成 5 位数,直接用 IP 白名单+公钥又省事又安全。
    再严格一点加个谷歌双因子认证也就足够了。
        54
    ETO   4 天前
    @mostkia 还有蒋芳研,啥的呢
        55
    fvckDaybyte2   4 天前 via iPhone
    @qwerthhusn 现在端口扫描都带检测服务功能了……
        56
    olaloong   4 天前 via Android
    @pxw2002 哈哈,我一直都是这么干的
        57
    andylsr   4 天前 via Android
    @mostkia 改端口,扫不到了也就不会爆破了
        58
    webshe11   4 天前
    换端口 + 只允许密钥登录 + fail2ban 路过
        59
    Hardrain   4 天前 via Android
    赞同所有用 Pub key(并停用键盘交互)的回复
    如果用 Google authenticator 之类的 TFA 则更好

    反对一切改端口的回复,这是没用的方法。防得了大批量扫描,完全不能防御具有针对性的攻击
        60
    h175h32   4 天前
    @pxw2002 你这个办法不错
        61
    runtu2019   4 天前
    一般是部署 ssl 加密代理在上面进行访问,密钥一都要都在 2048 以上,绝不开放 ssh 端口,暴力破解 ssh 虽然破解不了强口令和密钥,但是被恶意的暴力破解特别占 cpu,浪费资源。
        62
    Aixtuz   4 天前
    我用的 Krypton,禁止密码 + 手机端允许密钥才能连上。
        63
    nicevar   4 天前   ♥ 1
    上面那些说 linux 换成 3389 的太天真了,还有一堆人赞成这个做法,你不做其他处理是个端口扫描程序根据返回信息就能判断出来你是不是 ssh
        64
    daibingsong   4 天前
    @pxw2002 666
        65
    alfchin   4 天前 via Android   ♥ 1
    @ohmyzsh 假装自己是 rdp 服务
        66
    xrlin   4 天前
    系统刚装好就屏蔽密码登录了,只允许 key 登录。
        67
    playnoa   4 天前 via Android
    @Cu635 sudo 回提升提示密码,如果机器不长登录的话,那么一些重要信息应该记笔记
        68
    xmi   3 天前
    新建一个和 root 一样权限的账户然后把 root 账户登陆禁用掉
        69
    c4f36e5766583218   3 天前
    @pxw2002 #21 好像没用的,nmap 可以探测系统版本的吧
        70
    sodadev   3 天前 via iPhone
    @pxw2002 请问家里怎么申请公网 ip 呢
        71
    pxw2002   3 天前 via Android
    @sodadev 我当时给电信客服打电话,说我家里有老人,小孩儿需要安装远程监控,需要公网 IP 连接,然后就给了
        72
    qwerthhusn   3 天前
    @pxw2002 这个是“借口”还是真的?我家用的 360 摄像机,没有公网也能正常用啊
        73
    Cu635   3 天前
    @qwerthhusn
    其实已经是还没过去几年的事情了,稍微旧一点的这种家庭监控设备就需要公网 ip 才能正常运作。现在没有公网 ip 也能正常用的消费级家庭监控设备是很新的。

    @playnoa
    一般认为不应该记密码……
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1462 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 00:39 · PVG 08:39 · LAX 17:39 · JFK 20:39
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1