V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Features
V2EX  ›  Linux

Linux 管理过程中,关闭 22 端口,只使用 vnc 管理是否更安全?

  •  
  •   Features · 2024-07-03 09:05:26 +08:00 · 4566 次点击
    这是一个创建于 426 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨晚看到爆出的 ssh 漏洞冒了一身冷汗,我的服务器刚好处于受害的版本内
    立刻去安全组中关闭了 22 端口,只留了 3306 和 80 ,443 这三个端口
    服务器统一用服务商的 vnc 进行管理

    这样是否更安全一点?
    42 条回复    2024-07-06 18:07:46 +08:00
    erquren
        1
    erquren  
       2024-07-03 09:13:10 +08:00
    升级 ssh 解决
    busier
        2
    busier  
       2024-07-03 09:14:29 +08:00   ❤️ 4
    标准的 vnc 协议是无加密明文传输的

    再说了,更新下 sshd 要花钱吗?
    duanxianze
        3
    duanxianze  
       2024-07-03 09:18:36 +08:00
    3306 更不安全吧?
    superrichman
        4
    superrichman  
       2024-07-03 09:20:54 +08:00
    公网数据库,完美的靶子
    churchmice
        5
    churchmice  
       2024-07-03 09:20:58 +08:00
    看完就感觉挺无语的
    为嘛你觉得 80,443 端口安全呢? apache/nginx/php 暴的漏洞还少吗? 3306 就更不用说了
    laikick
        6
    laikick  
       2024-07-03 09:23:32 +08:00
    请使用 零信任.
    selfly
        7
    selfly  
       2024-07-03 09:28:39 +08:00
    后知后觉了,吓的我赶紧去看了下我暴露在公网的树莓派,还好树莓派 OpenSSH_8.4p1 不在漏洞版本范围内
    Features
        8
    Features  
    OP
       2024-07-03 09:41:50 +08:00
    @busier
    @erquren
    主要是几十台服务器,我寻思着关了端口不是更快一点嘛
    Features
        9
    Features  
    OP
       2024-07-03 09:44:12 +08:00
    @erquren
    @duanxianze
    局域网组网做读写分离必须要开咋办啊?😭
    只有一个本地 root 用户和特定 ip 的用户
    Features
        10
    Features  
    OP
       2024-07-03 09:44:51 +08:00
    @churchmice 80 和 443 必须要开,有漏洞也没法子了。。。
    gesse
        11
    gesse  
       2024-07-03 10:11:25 +08:00
    改成非 22 端口,应该 99.999%避免所有
    yangg
        12
    yangg  
       2024-07-03 10:26:32 +08:00
    @erquren ubuntu 22.04 怎么升级?
    阿里云的切到 ubuntu 官方镜像,还是

    sudo apt full-upgrade
    Reading package lists... Done
    Building dependency tree... Done
    Reading state information... Done
    Calculating upgrade... Done
    Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
    gsasl-common libgsasl7
    Learn more about Ubuntu Pro at https://ubuntu.com/pro
    #
    # OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
    # RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
    # For more details see: https://ubuntu.com/security/notices/USN-6859-1.
    #
    The following packages have been kept back:
    python3-update-manager ubuntu-advantage-tools update-manager-core
    0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
    ➜ apt apt policy openssh-server
    openssh-server:
    Installed: 1:8.9p1-3ubuntu0.10
    Candidate: 1:8.9p1-3ubuntu0.10
    Version table:
    *** 1:8.9p1-3ubuntu0.10 500
    500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
    500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
    100 /var/lib/dpkg/status
    1:8.9p1-3 500
    500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages
    retanoj
        13
    retanoj  
       2024-07-03 11:04:11 +08:00
    OP 看完楼里回复,一总结发现:就啥也不让开呗
    totoro625
        14
    totoro625  
       2024-07-03 11:19:57 +08:00   ❤️ 1
    几十台服务器,留一台作为堡垒机不行吗,所有服务器都配置 22 端口白名单给指定服务器
    ladeo
        15
    ladeo  
       2024-07-03 11:24:17 +08:00
    VNC 也不安全啊
    shakeyo
        16
    shakeyo  
       2024-07-03 11:34:00 +08:00
    @churchmice 看完你这言论也挺无语的,意思是什么端口不暴露就安全是吗,因噎废食吗?
    DefoliationM
        17
    DefoliationM  
       2024-07-03 11:59:55 +08:00 via Android
    端口全关了,用 tailscale 连
    laminux29
        18
    laminux29  
       2024-07-03 12:17:10 +08:00   ❤️ 1
    任何接入方案都可能有漏洞。企业级的安全做法是,多层接入方案,来提高整体安全性。比如 Linux 的 VPN + OpenBSD 的 SSH + Windows 的 RDP ,3 套连接方案一起用,再加上 fail2ban + 地域 IP 白名单 + IPS ,3 层安全,不仅黑客进不去,自己也进不去。你就说安不安全。
    wowbaby
        19
    wowbaby  
       2024-07-03 12:22:14 +08:00
    为啥喜欢默认端口?我改至少 4 位数的端口,服务过那么多小企业,服务器从上线就没安全更新过,也没见过有事的,每天一堆的扫描,看到很多有事的都是用的 web 开源程序的漏洞导致。
    devswork
        20
    devswork  
       2024-07-03 12:25:24 +08:00
    @laminux29 #18 安全,安全了! 哈哈哈哈哈哈哈,自己都进不去,笑死了
    byte10
        21
    byte10  
       2024-07-03 13:17:13 +08:00
    1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上,攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上,目前没有在可接受时间内的利用方案,但未来的改进可能使其成为现实。

    大多数安全的问题,都是有很必要条件的,不用折腾这些了。
    xdzhang
        22
    xdzhang  
       2024-07-03 13:46:39 +08:00
    你 3306 也放出去啊。
    Features
        23
    Features  
    OP
       2024-07-03 13:53:47 +08:00
    @xdzhang 局域网组网做读写分离必须要开咋办啊?😭
    huangcjmail
        24
    huangcjmail  
       2024-07-03 14:03:00 +08:00
    @Features #23 可以配置指定网段才能连过去的,把数据库的集群放一个小网段下就行。
    Features
        25
    Features  
    OP
       2024-07-03 14:05:51 +08:00
    @huangcjmail 感谢感谢,我知道怎么配置了
    privil
        26
    privil  
       2024-07-03 14:10:59 +08:00
    @retanoj #13 内网访问请走 VPN 、专线,外网访问请加 waf 等安全设备。
    sampeng
        27
    sampeng  
       2024-07-03 14:40:04 +08:00
    所有人都看漏了。。服务商的 vnc 。是阿里云吗?直接付费买他的堡垒机。所有机器不开外网。暴露外网都走 slb 。就只有你接口漏洞了。
    sampeng
        28
    sampeng  
       2024-07-03 14:41:50 +08:00
    嫌贵就 jumpserver 走着。jumpserver 的机器和公司 vpn 打通。ipsec 的安全性还是有保障的
    sampeng
        29
    sampeng  
       2024-07-03 14:44:00 +08:00
    我觉得很神奇。。。。我已经看到无数的公司的阿里云的机器直接申请 eip 暴露出公网。。真不嫌命大和麻烦
    LokiSharp
        30
    LokiSharp  
       2024-07-03 15:58:48 +08:00
    挂个 wireguard 除了 80 443 端口都不对外开放
    mingtdlb
        31
    mingtdlb  
       2024-07-03 16:03:39 +08:00
    @gesse 人家一扫就扫出来了
    iyiluo
        32
    iyiluo  
       2024-07-03 16:07:15 +08:00
    只要是人写的软件,都可能出现漏洞,除非你不所有端口都关了
    gefangshuai
        33
    gefangshuai  
       2024-07-03 16:09:08 +08:00
    开了 3306 ?你为什么不做个 vpn 呢?挺无语的
    opengps
        34
    opengps  
       2024-07-03 16:10:00 +08:00
    就算你只开通 80 端口,端口的大问题算是合格了,但是你怎么保证你的 web 没有漏洞?
    mingtdlb
        35
    mingtdlb  
       2024-07-03 16:11:30 +08:00
    没必要太担心,安全是相对的,做好基本的防护,足以。比如这个 ssh 你平时有加 fail2ban 或者登入几次失败后锁定账户,都能缓解,还有之前那个 CVE-2024-1086 普通用户提权,那也需要普通用户进去了不是


    成功利用漏洞是需要一定条件的,而且还要看你是否有价值。
    azarasi
        36
    azarasi  
       2024-07-03 16:30:27 +08:00   ❤️ 1
    只允许 vpn 访问 ssh 端口不就行了
    om2mo
        37
    om2mo  
       2024-07-03 19:16:33 +08:00
    就算有那个漏洞你觉得实现起来容易吗?
    msg7086
        38
    msg7086  
       2024-07-04 05:36:08 +08:00
    升级 SSH ×
    杀掉 SSH √
    不是很能理解一些人的脑回路……系统安全本来就依赖软件经常更新,经常打上安全补丁。
    SSH 关了有什么用,下次照样从你没打补丁的 Web server 进来。
    daimiaopeng
        39
    daimiaopeng  
       2024-07-04 09:23:56 +08:00
    因噎废食?
    oneisall8955
        40
    oneisall8955  
    PRO
       2024-07-04 10:07:29 +08:00 via Android
    3306 为什么要开到公网?既然是局域网复制读写分离,MySQL 绑定的网卡到局域网的 IP 就行了
    kios
        41
    kios  
       2024-07-04 17:00:11 +08:00
    1. 升级 ssh
    2. 更改默认端口
    3. 禁止用户名密码登录,改用密钥登录
    Paulownia
        42
    Paulownia  
       2024-07-06 18:07:46 +08:00
    那个洞利用难度很高吧。另外相信我,只要没有弱口令,ssh 绝对是楼主提到的服务端口里面最安全的
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   935 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:01 · PVG 04:01 · LAX 13:01 · JFK 16:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.