V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
James369
V2EX  ›  Linux

ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能?

  •  
  •   James369 · 2021-07-25 04:51:37 +08:00 · 3956 次点击
    这是一个创建于 977 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如,一个未知身份连接进来尝试错误几次用户名 /密码之后,就自动屏蔽几分钟。
    这样可以极大的延缓密码被试出来。
    28 条回复    2021-07-27 10:04:57 +08:00
    wzxlovesy
        1
    wzxlovesy  
       2021-07-25 05:05:22 +08:00 via Android   ❤️ 2
    fail2ban
    dangyuluo
        2
    dangyuluo  
       2021-07-25 05:11:22 +08:00   ❤️ 2
    sshguard 更优
    wzxlovesy
        3
    wzxlovesy  
       2021-07-25 05:19:07 +08:00 via Android   ❤️ 1
    用 ssh key 也行
    LeeReamond
        4
    LeeReamond  
       2021-07-25 06:13:28 +08:00
    默认无拒绝,所以有一些速度很快的工具,内网的话可以默认为 10 位内弱密码容易破
    huoshen
        5
    huoshen  
       2021-07-25 08:50:43 +08:00 via iPhone   ❤️ 1
    设置公钥登录并禁止密码登录,基本上一劳永逸了
    Yadomin
        6
    Yadomin  
       2021-07-25 08:58:19 +08:00 via Android
    不设置用户密码就行了🐶
    LiangBryan
        7
    LiangBryan  
       2021-07-25 09:01:40 +08:00
    denyhosts
    yeqizhang
        8
    yeqizhang  
       2021-07-25 09:05:45 +08:00 via Android
    我刚刚在我的腾讯轻量服务器做了这个功能,首先 hosts.deny 拒绝所有 ssh 和 sftp,然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢?直接定时十分钟跑脚本分析 auth.log 日志,超过一定次数直接 iptables input drop
    Ariver
        9
    Ariver  
       2021-07-25 09:18:08 +08:00 via iPhone   ❤️ 2
    iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
    可以搜一下
    hallDrawnel
        10
    hallDrawnel  
       2021-07-25 11:16:06 +08:00
    直接关闭密码登录
    msg7086
        11
    msg7086  
       2021-07-25 13:32:50 +08:00
    @Ariver Port Knocking ?
    iBugOne
        12
    iBugOne  
       2021-07-25 14:05:02 +08:00 via Android
    @yeqizhang 为啥要把 fail2ban 这么好用的已有的轮子自己重新造一遍
    Osk
        13
    Osk  
       2021-07-25 14:19:40 +08:00
    可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.


    另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码).
    zhhww57
        14
    zhhww57  
       2021-07-25 14:31:58 +08:00
    @Ariver 我这也有个骚操作,可以不开放任何 tcp 端口,只开放 udp 出站,这种情况下接入
    ZhiyuanLin
        15
    ZhiyuanLin  
       2021-07-25 14:42:12 +08:00
    不开放密码登录不就行了。
    要更强点就配置 WireGuard,SSH 只开放内网登陆,登录时候必须 WireGuard+SSH 私钥。
    yeqizhang
        16
    yeqizhang  
       2021-07-25 16:24:00 +08:00 via Android
    @iBugOne 主要一开始我搜到的解决办法是 hosts.deny,脚本往这文件里禁了一堆 ip 觉得不爽,就想到直接把国外的都禁了,但是 ip 库太大也不全,找到一个国内省份的 ip 库,就想只放开几个省的就行了,结果这几个省还是有人搞事情,就想着 iptables 来弄了。权当花了点时间了解了些东西
    ctro15547
        17
    ctro15547  
       2021-07-25 16:26:20 +08:00
    fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。
    jim9606
        18
    jim9606  
       2021-07-25 18:12:28 +08:00
    我选择关掉密码登录,只用 pubkey 。
    如果真有头铁爆破的,估计我的服务器已经被 D 到要关机了。

    @Osk Desktop 默认没安装 ssh-server 吧?至于 Server,初始化总得用吧?或者用 cloud-init 做初始化?
    Felix2Yu
        19
    Felix2Yu  
       2021-07-26 10:07:18 +08:00
    @yeqizhang 你确定 iptables 导这么多不影响性能吗,搜了下国内有 6000+个段
    wms
        20
    wms  
       2021-07-26 11:37:01 +08:00
    换个端口
    ryd994
        21
    ryd994  
       2021-07-26 12:36:32 +08:00 via Android
    换端口+证书登录
    换端口主要是排除一些低端脚本,省得心烦
    myqoo
        22
    myqoo  
       2021-07-26 14:12:58 +08:00
    可以试试 Web 版的 port knocking: https://www.etherdream.com/port-knocking/
    chenjies
        23
    chenjies  
       2021-07-26 16:38:28 +08:00
    借楼请问 IP 白名单是不是最小白的? 22 端口只允许指定的 IP 与一台阿里云 ECS 的 IP 登录。
    MarkLeeyun
        24
    MarkLeeyun  
       2021-07-26 18:42:05 +08:00
    只允许公钥登录就好。
    liuxu
        25
    liuxu  
       2021-07-26 20:19:45 +08:00
    果断强制 rsa 啊
    yeqizhang
        26
    yeqizhang  
       2021-07-26 20:37:19 +08:00 via Android
    @Felix2Yu 不是,我用 hosts.deny 全部的,然后 allow 是三个省份的网段(只有这三个省份可以 ssh sftp ),iptables 是把这三个省份爆破的 ip 直接加进去,平均一天也没两个
    Hardrain
        27
    Hardrain  
       2021-07-27 02:26:12 +08:00
    PubkeyAuthentication yes
    PasswordAuthentication no

    让他们爆破去吧,除非你生成了一个 512 位的 RSA
    huangmingyou
        28
    huangmingyou  
       2021-07-27 10:04:57 +08:00
    都 2022 了,为啥还要用密码登陆 ssh
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1022 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 19:57 · PVG 03:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.