V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ONLYONEING
V2EX  ›  Linux

游戏正式上线服 老板要把 ssh 密码设置成一样的...

  •  
  •   ONLYONEING · 2019-04-18 15:46:49 +08:00 · 6155 次点击
    这是一个创建于 2075 天前的主题,其中的信息可能已经有所发展或是发生改变。

    脑袋痛 游戏正式上线服 老板要把 ssh 密码设置成一样的...

    25 条回复    2019-04-21 23:28:25 +08:00
    DeWhite
        1
    DeWhite  
       2019-04-18 16:07:02 +08:00 via Android
    怕是老板脑子不好使了,这个密码我都嫌太简单
    chenqh
        2
    chenqh  
       2019-04-18 16:08:15 +08:00
    加个 fail2ban 应该就没有问题了吧
    catalina
        3
    catalina  
       2019-04-18 16:11:16 +08:00 via Android
    设成一样无所谓,只要你几天换个密码 3 个月不重样(迫真)
    PerFectTime
        4
    PerFectTime  
       2019-04-18 16:12:35 +08:00
    为啥要用密码 用密钥不行吗
    opengps
        5
    opengps  
       2019-04-18 16:15:33 +08:00 via Android
    送人头
    janus77
        6
    janus77  
       2019-04-18 16:24:26 +08:00
    你慌什么,反正又不是你背锅,让改的是他啊
    k9982874
        7
    k9982874  
       2019-04-18 16:26:36 +08:00
    游戏说不定活不到 服务器被破的那一天
    anjing01
        8
    anjing01  
       2019-04-18 16:27:08 +08:00
    ssh 禁用密码比较好,用秘钥啊!不然到时候扫描日志烦死你。
    ScotGu
        9
    ScotGu  
       2019-04-18 16:27:10 +08:00
    既然密码那么弱,就在防火墙 F2B 上下下功夫吧。
    Keyes
        10
    Keyes  
       2019-04-18 16:27:17 +08:00   ❤️ 1
    你这事儿不一定是技术问题,我在某大型视频网站也遇到过类似的场景,没准你老板在私底下进行着不为人知的操作,不要问,干就对了
    paragon
        11
    paragon  
       2019-04-18 16:28:39 +08:00
    只要把 22 关掉无所谓吧
    tankren
        12
    tankren  
       2019-04-18 16:45:46 +08:00
    换端口 用秘钥
    coreos
        13
    coreos  
       2019-04-18 16:48:35 +08:00
    @Keyes 别最后上套做了背锅的吧。人很难说得明白的
    0ZXYDDu796nVCFxq
        14
    0ZXYDDu796nVCFxq  
       2019-04-18 16:51:25 +08:00   ❤️ 1
    9102 年了,你们还用密码登录服务器? root 用户也能 ssh 登录?
    我们的 root 密码都是 123
    Joyboo
        15
    Joyboo  
       2019-04-18 17:27:59 +08:00
    换端口用密钥,否则还真是送人头
    Jzer0n
        16
    Jzer0n  
       2019-04-18 17:31:34 +08:00
    常规的不应该是改端口禁止账号密码登录只允许密钥登录么,要不再仅允许指定 IP 指定端口然后仅限于密钥登录? 2333
    pmispig
        17
    pmispig  
       2019-04-18 18:01:53 +08:00
    不知道你说的是测试和线上密码一样还是说 线上所有服务器密码一样?
    所有服务密码设成一样不是常规操作吗? 100 台服务器 100 个密码,登陆的时候你自己去找?
    joesonw
        18
    joesonw  
       2019-04-18 18:08:30 +08:00
    @gstqc 最好还是禁所有公网访问(除了 80, 443 和 vpn)
    0ZXYDDu796nVCFxq
        19
    0ZXYDDu796nVCFxq  
       2019-04-18 18:12:55 +08:00 via Android
    @joesonw #18 是的
    公开哪些端口都有记录并且定期扫的
    ssh 端口必须有服务器权限的员工拨了 VPN 才能连
    dnsaq
        20
    dnsaq  
       2019-04-18 21:03:50 +08:00 via iPhone
    不管是内网还是外网都应该用密钥连接,方便又安全。密码方面,我是初始化系统时 mkpass 随机生成然后上报到密码表。
    DAPTX4869
        21
    DAPTX4869  
       2019-04-18 22:58:26 +08:00
    设备密码全是 password@A......
    对外安全有 vpn
    pangliang
        22
    pangliang  
       2019-04-18 23:01:57 +08:00
    那是你们没见过给了 sudo 账号还来要 root 密码的
    SharkIng
        23
    SharkIng  
       2019-04-19 01:17:45 +08:00
    和老板签个免责声明,我改可以,出问题我不管
    CCNemo
        24
    CCNemo  
       2019-04-19 09:11:11 +08:00 via Android
    换端口一般还能用用。
    ps1aniuge
        25
    ps1aniuge  
       2019-04-21 23:28:25 +08:00
    ```powershell
    # sshd deny host 脚本,powershell 版。

    $ssh 连接失败次数阀值 = 4
    #--------------------------------------------------------------------
    if (Test-Path -LiteralPath '/etc/host_deny_old1.txt')
    {
    Remove-Item -LiteralPath '/etc/host_deny_old1.txt' -Force
    }

    if (Test-Path -LiteralPath '/etc/hosts.deny')
    {
    Move-Item -LiteralPath '/etc/hosts.deny' -Destination '/etc/host_deny_old1.txt'
    New-Item -Path '/etc/hosts.deny'
    chmod 644 /etc/hosts.deny
    }

    $所有 ssh 连接失败 ip = Get-Content -LiteralPath /var/log/secure | Where-Object { $_.split()[5] -eq 'Failed' } | Select-Object @{n = "key";e = { $_.Split()[-4] } } | Group-Object -Property key -NoElement
    foreach ($单个 ssh 连接失败 ip in $所有 ssh 连接失败 ip)
    {
    #2016-10-15 centos7 测试通过,完全正常。其他版本没测试,如有问题,请修改这里 $_.split()[5]
    if ($单个 ssh 连接失败 ip.count -gt $ssh 连接失败次数阀值)
    {
    $deny 字串 = 'sshd: ' + $单个 ssh 连接失败 ip.name
    Add-Content -LiteralPath '/etc/hosts.deny' -Value $deny 字串 -Encoding Ascii
    }
    #问:这个脚本谁写的?有问题找谁技术支持?
    #答:QQ 群号=183173532
    #名称=powershell 交流群
    }

    Write-Warning '只需要删除 /etc/hosts.deny 文件,即可解除所有阻止的 ip'
    ```
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2614 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:54 · PVG 18:54 · LAX 02:54 · JFK 05:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.