Linux 管理过程中，关闭 22 端口，只使用 vnc 管理是否更安全？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 426 天前的主题，其中的信息可能已经有所发展或是发生改变。

昨晚看到爆出的 ssh 漏洞冒了一身冷汗，我的服务器刚好处于受害的版本内
立刻去安全组中关闭了 22 端口，只留了 3306 和 80 ，443 这三个端口
服务器统一用服务商的 vnc 进行管理

这样是否更安全一点？

关闭

VNC

安全

42 条回复 • 2024-07-06 18:07:46 +08:00

erquren

2024-07-03 09:13:10 +08:00

升级 ssh 解决

busier

2024-07-03 09:14:29 +08:00

标准的 vnc 协议是无加密明文传输的

再说了，更新下 sshd 要花钱吗？

duanxianze

2024-07-03 09:18:36 +08:00

3306 更不安全吧？

superrichman

2024-07-03 09:20:54 +08:00

公网数据库，完美的靶子

churchmice

2024-07-03 09:20:58 +08:00

看完就感觉挺无语的
为嘛你觉得 80,443 端口安全呢？ apache/nginx/php 暴的漏洞还少吗？ 3306 就更不用说了

laikick

2024-07-03 09:23:32 +08:00

请使用零信任.

selfly

2024-07-03 09:28:39 +08:00

后知后觉了，吓的我赶紧去看了下我暴露在公网的树莓派，还好树莓派 OpenSSH_8.4p1 不在漏洞版本范围内

Features

2024-07-03 09:41:50 +08:00

@busier
@erquren
主要是几十台服务器，我寻思着关了端口不是更快一点嘛

Features

2024-07-03 09:44:12 +08:00

@erquren
@duanxianze
局域网组网做读写分离必须要开咋办啊？😭
只有一个本地 root 用户和特定 ip 的用户

Features

2024-07-03 09:44:51 +08:00

@churchmice 80 和 443 必须要开，有漏洞也没法子了。。。

gesse

2024-07-03 10:11:25 +08:00

改成非 22 端口，应该 99.999%避免所有

yangg

2024-07-03 10:26:32 +08:00

@erquren ubuntu 22.04 怎么升级？
阿里云的切到 ubuntu 官方镜像，还是

sudo apt full-upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
gsasl-common libgsasl7
Learn more about Ubuntu Pro at https://ubuntu.com/pro
#
# OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
# RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
# For more details see: https://ubuntu.com/security/notices/USN-6859-1.
#
The following packages have been kept back:
python3-update-manager ubuntu-advantage-tools update-manager-core
0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
➜ apt apt policy openssh-server
openssh-server:
Installed: 1:8.9p1-3ubuntu0.10
Candidate: 1:8.9p1-3ubuntu0.10
Version table:
*** 1:8.9p1-3ubuntu0.10 500
500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
1:8.9p1-3 500
500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages

retanoj

2024-07-03 11:04:11 +08:00

OP 看完楼里回复，一总结发现：就啥也不让开呗

totoro625

2024-07-03 11:19:57 +08:00

几十台服务器，留一台作为堡垒机不行吗，所有服务器都配置 22 端口白名单给指定服务器

ladeo

2024-07-03 11:24:17 +08:00

VNC 也不安全啊

shakeyo

2024-07-03 11:34:00 +08:00

@churchmice 看完你这言论也挺无语的，意思是什么端口不暴露就安全是吗，因噎废食吗？

DefoliationM

2024-07-03 11:59:55 +08:00 via Android

端口全关了，用 tailscale 连

laminux29

2024-07-03 12:17:10 +08:00

任何接入方案都可能有漏洞。企业级的安全做法是，多层接入方案，来提高整体安全性。比如 Linux 的 VPN + OpenBSD 的 SSH + Windows 的 RDP ，3 套连接方案一起用，再加上 fail2ban + 地域 IP 白名单 + IPS ，3 层安全，不仅黑客进不去，自己也进不去。你就说安不安全。

wowbaby

2024-07-03 12:22:14 +08:00

为啥喜欢默认端口？我改至少 4 位数的端口，服务过那么多小企业，服务器从上线就没安全更新过，也没见过有事的，每天一堆的扫描，看到很多有事的都是用的 web 开源程序的漏洞导致。

devswork

2024-07-03 12:25:24 +08:00

@laminux29 #18 安全，安全了！哈哈哈哈哈哈哈，自己都进不去，笑死了

byte10

2024-07-03 13:17:13 +08:00

1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上，攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上，目前没有在可接受时间内的利用方案，但未来的改进可能使其成为现实。

大多数安全的问题，都是有很必要条件的，不用折腾这些了。