这是一个创建于 2167 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近跟朋友讨论这个问题,机器只对一台部署机开了设置安全组规则可用 22 连接,拷贝文件远程重启,其他服务通过 nginx 代理。
这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?
请各位老哥指教一下。
这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?
请各位老哥指教一下。
 |
1
avrillavigne 2018-12-16 15:35:28 +08:00
没明白,“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口?
没有公网的机器不会被扫描到,要么堡垒机攻陷入侵内网,或设置了内网转发。有人的地方小心内部攻击,你自己的玩具就随便~ 我用到的安全设置 1、改端口 避开大部分脚本扫描 2、使用 SSH 公钥登录 云厂商都可以一键创建 SSH 公钥和绑定实例,安全性大大提高。 3、使用 fail2ban 设置一分钟内失败 5 次封禁 IP 24 小时。 |
 |
2
Hardrain 2018-12-16 15:51:27 +08:00
SSH 建议用公钥,并完全停用键盘交互(密码)登录。
其他的,比如改端口、port knocking 都不建议。 因为这些只是将你的 SSH 服务放进一个迷宫,而不是加上一把足够坚固的锁。 |
 |
3
CallMeReznov 2018-12-16 15:54:32 +08:00
别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.
|
 |
4
meowoo OP @avrillavigne 是的,就指定了某一台主机可以用 22 端口连接,其他都不行,而这台主机也是内网中的,没有外部访问途径。
|
|
5
meowoo OP @Hardrain 是的,我也是这样考虑的,接手过来的时候都是用密码存储的,纯内网的,之前估计没考虑那么多,现在是涉及到公网了,所以就麻烦了。
|
|
6
meowoo OP @CallMeReznov 我自己的公网机器是瞬间爆炸,我回头看看那几台内网的,我的天。
|
 |
7
mattx 2018-12-16 16:43:44 +08:00
1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
2 使用 SSH 秘钥登录 3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口 以上的要配置起来, 也就 10 分钟的事情, 挺快的. |
 |
10
flynaj 2018-12-16 20:02:43 +08:00 via Android
改端口防那些机器人无脑扫描
|
Select Language