7

ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能?

 3 years ago
source link: https://www.v2ex.com/t/791578
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能?

V2EX  ›  Linux

ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能?

  James369 · 13 小时 23 分钟前 · 1396 次点击
比如,一个未知身份连接进来尝试错误几次用户名 /密码之后,就自动屏蔽几分钟。
这样可以极大的延缓密码被试出来。
18 条回复    2021-07-25 18:12:28 +08:00

wzxlovesy

wzxlovesy   13 小时 10 分钟前 via Android   ❤️ 2

fail2ban

dangyuluo

dangyuluo   13 小时 4 分钟前   ❤️ 1

sshguard 更优

wzxlovesy

wzxlovesy   12 小时 56 分钟前 via Android   ❤️ 1

用 ssh key 也行

LeeReamond

LeeReamond   12 小时 2 分钟前

默认无拒绝,所以有一些速度很快的工具,内网的话可以默认为 10 位内弱密码容易破

huoshen

huoshen   9 小时 24 分钟前 via iPhone

设置公钥登录并禁止密码登录,基本上一劳永逸了

Yadomin

Yadomin   9 小时 17 分钟前 via Android

不设置用户密码就行了🐶

LiangBryan

LiangBryan   9 小时 13 分钟前

denyhosts

yeqizhang

yeqizhang   9 小时 9 分钟前 via Android

我刚刚在我的腾讯轻量服务器做了这个功能,首先 hosts.deny 拒绝所有 ssh 和 sftp,然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢?直接定时十分钟跑脚本分析 auth.log 日志,超过一定次数直接 iptables input drop

Ariver

Ariver   8 小时 57 分钟前 via iPhone   ❤️ 1

iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
可以搜一下

hallDrawnel

hallDrawnel   6 小时 59 分钟前

直接关闭密码登录

msg7086

msg7086   4 小时 42 分钟前

@Ariver Port Knocking ?

iBugOne

iBugOne   4 小时 10 分钟前 via Android

@yeqizhang 为啥要把 fail2ban 这么好用的已有的轮子自己重新造一遍

Osk

Osk   3 小时 55 分钟前

可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.


另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码).

zhhww57

zhhww57   3 小时 43 分钟前

@Ariver 我这也有个骚操作,可以不开放任何 tcp 端口,只开放 udp 出站,这种情况下接入

ZhiyuanLin

ZhiyuanLin   3 小时 33 分钟前

不开放密码登录不就行了。
要更强点就配置 WireGuard,SSH 只开放内网登陆,登录时候必须 WireGuard+SSH 私钥。

yeqizhang

yeqizhang   1 小时 51 分钟前 via Android

@iBugOne 主要一开始我搜到的解决办法是 hosts.deny,脚本往这文件里禁了一堆 ip 觉得不爽,就想到直接把国外的都禁了,但是 ip 库太大也不全,找到一个国内省份的 ip 库,就想只放开几个省的就行了,结果这几个省还是有人搞事情,就想着 iptables 来弄了。权当花了点时间了解了些东西

ctro15547

ctro15547   1 小时 49 分钟前

fail2ban 非常好用 vps 已经 ban 了几 W 个 IP 了。。。

jim9606

jim9606   3 分钟前

我选择关掉密码登录,只用 pubkey 。
如果真有头铁爆破的,估计我的服务器已经被 D 到要关机了。

@Osk Desktop 默认没安装 ssh-server 吧?至于 Server,初始化总得用吧?或者用 cloud-init 做初始化?

关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1991 人在线   最高记录 5497   ·  

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 18ms · UTC 10:15 · PVG 18:15 · LAX 03:15 · JFK 06:15
♥ Do have faith in what you're doing.


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK