V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
James369
V2EX  ›  Linux

ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能?

  •  
  •   James369 · 88 天前 · 2883 次点击
    这是一个创建于 88 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如,一个未知身份连接进来尝试错误几次用户名 /密码之后,就自动屏蔽几分钟。
    这样可以极大的延缓密码被试出来。
    28 条回复    2021-07-27 10:04:57 +08:00
    wzxlovesy
        1
    wzxlovesy   88 天前 via Android   ❤️ 2
    fail2ban
    dangyuluo
        2
    dangyuluo   88 天前   ❤️ 2
    sshguard 更优
    wzxlovesy
        3
    wzxlovesy   88 天前 via Android   ❤️ 1
    用 ssh key 也行
    LeeReamond
        4
    LeeReamond   88 天前
    默认无拒绝,所以有一些速度很快的工具,内网的话可以默认为 10 位内弱密码容易破
    huoshen
        5
    huoshen   88 天前 via iPhone   ❤️ 1
    设置公钥登录并禁止密码登录,基本上一劳永逸了
    Yadomin
        6
    Yadomin   88 天前 via Android
    不设置用户密码就行了🐶
    LiangBryan
        7
    LiangBryan   88 天前
    denyhosts
    yeqizhang
        8
    yeqizhang   88 天前 via Android
    我刚刚在我的腾讯轻量服务器做了这个功能,首先 hosts.deny 拒绝所有 ssh 和 sftp,然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢?直接定时十分钟跑脚本分析 auth.log 日志,超过一定次数直接 iptables input drop
    Ariver
        9
    Ariver   88 天前 via iPhone   ❤️ 2
    iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
    可以搜一下
    hallDrawnel
        10
    hallDrawnel   87 天前
    直接关闭密码登录
    msg7086
        11
    msg7086   87 天前
    @Ariver Port Knocking ?
    iBugOne
        12
    iBugOne   87 天前 via Android
    @yeqizhang 为啥要把 fail2ban 这么好用的已有的轮子自己重新造一遍
    Osk
        13
    Osk   87 天前
    可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.


    另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码).
    zhhww57
        14
    zhhww57   87 天前
    @Ariver 我这也有个骚操作,可以不开放任何 tcp 端口,只开放 udp 出站,这种情况下接入
    ZhiyuanLin
        15
    ZhiyuanLin   87 天前
    不开放密码登录不就行了。
    要更强点就配置 WireGuard,SSH 只开放内网登陆,登录时候必须 WireGuard+SSH 私钥。
    yeqizhang
        16
    yeqizhang   87 天前 via Android
    @iBugOne 主要一开始我搜到的解决办法是 hosts.deny,脚本往这文件里禁了一堆 ip 觉得不爽,就想到直接把国外的都禁了,但是 ip 库太大也不全,找到一个国内省份的 ip 库,就想只放开几个省的就行了,结果这几个省还是有人搞事情,就想着 iptables 来弄了。权当花了点时间了解了些东西
    ctro15547
        17
    ctro15547   87 天前
    fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。
    jim9606
        18
    jim9606   87 天前
    我选择关掉密码登录,只用 pubkey 。
    如果真有头铁爆破的,估计我的服务器已经被 D 到要关机了。

    @Osk Desktop 默认没安装 ssh-server 吧?至于 Server,初始化总得用吧?或者用 cloud-init 做初始化?
    Felix2Yu
        19
    Felix2Yu   86 天前
    @yeqizhang 你确定 iptables 导这么多不影响性能吗,搜了下国内有 6000+个段
    wms
        20
    wms   86 天前
    换个端口
    ryd994
        21
    ryd994   86 天前 via Android
    换端口+证书登录
    换端口主要是排除一些低端脚本,省得心烦
    myqoo
        22
    myqoo   86 天前
    可以试试 Web 版的 port knocking: https://www.etherdream.com/port-knocking/
    chenjies
        23
    chenjies   86 天前
    借楼请问 IP 白名单是不是最小白的? 22 端口只允许指定的 IP 与一台阿里云 ECS 的 IP 登录。
    MarkLeeyun
        24
    MarkLeeyun   86 天前
    只允许公钥登录就好。
    liuxu
        25
    liuxu   86 天前
    果断强制 rsa 啊
    yeqizhang
        26
    yeqizhang   86 天前 via Android
    @Felix2Yu 不是,我用 hosts.deny 全部的,然后 allow 是三个省份的网段(只有这三个省份可以 ssh sftp ),iptables 是把这三个省份爆破的 ip 直接加进去,平均一天也没两个
    Hardrain
        27
    Hardrain   86 天前
    PubkeyAuthentication yes
    PasswordAuthentication no

    让他们爆破去吧,除非你生成了一个 512 位的 RSA
    huangmingyou
        28
    huangmingyou   85 天前
    都 2022 了,为啥还要用密码登陆 ssh
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3893 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 01:50 · PVG 09:50 · LAX 18:50 · JFK 21:50
    ♥ Do have faith in what you're doing.