V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
zzq4343
V2EX  ›  VPS

如何保证你的 Linux VPS 安全 (SSH)?

  •  
  •   zzq4343 · 2015-12-13 12:14:53 +08:00 · 427 次点击
    这是一个创建于 3270 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. 看看有没有非法登录
      执行
      lastb -ai
      上述命令用于查看非法登录
      -a 是将登陆 IP 放在最后一栏
      -i 是只显示 IP (不解析为主机名)
      尤其注意那个 43.229. 开头的 IP ,具体范围是 43.229.52.0 - 43.229.55.255
      这个 IP 段天天扫描网络上的 22 端口 (SSH) 并尝试暴力破解密码,在我 VPS 上隔几秒就登一次
      直接 iptables 将其整个墙掉:
      iptables -A INPUT -s 43.229.52.0/22 -j DROP
      遇到别的 IP 也可以直接墙掉
      iptables -A INPUT -p tcp -s <需要封掉的 IP 或 IP 段> --dport 22 -j DROP
      当然还有一个办法是,弃用 22 端口,换一个,并封掉原来的 22 端口 (防止扫描)

    2. 定期更新软件
      Ubuntu/Debian 定期
      sudo apt-get update
      sudo apt-get upgrade
      sudo apt-get dist-upgrade
      确保软件和系统都是最新。

    3. 使用最新加密算法登录 SSH ,防止被窃听
      (不知道会不会导致兼容性问题,本人用 PuTTY 一切正常)
      https://stribika.github.io/2015/01/04/secure-secure-shell.html

    5 条回复    2015-12-16 12:07:32 +08:00
    buddha
        1
    buddha  
       2015-12-13 13:11:03 +08:00
    安装好系统以后 禁止密码登录 只允许公钥登陆就好了 另外私钥加密每次要输入密码以防私钥被偷。
    msg7086
        2
    msg7086  
       2015-12-13 16:54:37 +08:00
    竟然不提 fail2ban 么? apt 一发免维护啊。
    至于 SSH 窃听一般不用管,中招几率几乎就是 0 。
    yylzcom
        3
    yylzcom  
       2015-12-14 09:37:57 +08:00
    改掉默认 22 成其它端口,没中过招

    shadowsocks 改成 3389 倒是经常能有错误日志
    msg7086
        4
    msg7086  
       2015-12-14 14:43:44 +08:00
    对了,改 22 端口是一个虚假防护。扫开放端口只要几秒钟就能扫到你的 SSH 端口。
    lesswest
        5
    lesswest  
       2015-12-16 12:07:32 +08:00
    禁止密码登录,禁止 root 登录
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5555 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:31 · PVG 16:31 · LAX 00:31 · JFK 03:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.