最近跟朋友讨论这个问题,机器只对一台部署机开了设置安全组规则可用 22 连接,拷贝文件远程重启,其他服务通过 nginx 代理。
这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?
请各位老哥指教一下。
这样的机器有必要把 22 端口改成别的么,没有公网 ip 的机器也会被扫描到么?
请各位老哥指教一下。
This topic created in 2740 days ago, the information mentioned may be changed or developed.
 |
1
avrillavigne Dec 16, 2018
没明白,“机器只对一台部署机开了设置安全组规则可用 22 连接” 是指 设置了指定的 IP 可以连接 22 端口?
没有公网的机器不会被扫描到,要么堡垒机攻陷入侵内网,或设置了内网转发。有人的地方小心内部攻击,你自己的玩具就随便~ 我用到的安全设置 1、改端口 避开大部分脚本扫描 2、使用 SSH 公钥登录 云厂商都可以一键创建 SSH 公钥和绑定实例,安全性大大提高。 3、使用 fail2ban 设置一分钟内失败 5 次封禁 IP 24 小时。 |
 |
2
Hardrain Dec 16, 2018
SSH 建议用公钥,并完全停用键盘交互(密码)登录。
其他的,比如改端口、port knocking 都不建议。 因为这些只是将你的 SSH 服务放进一个迷宫,而不是加上一把足够坚固的锁。 |
 |
3
CallMeReznov Dec 16, 2018
别的不说,就改端口这个问题.你查查看你 lastb 命令的信息后我相信你就不会在纠结了.
|
 |
4
meowoo OP @avrillavigne 是的,就指定了某一台主机可以用 22 端口连接,其他都不行,而这台主机也是内网中的,没有外部访问途径。
|
|
6
meowoo OP @CallMeReznov 我自己的公网机器是瞬间爆炸,我回头看看那几台内网的,我的天。
|
 |
7
mattx Dec 16, 2018
1. 改端口, 22 端口 gfw 有时候干扰挺严重的, 虽然没干啥事
2 使用 SSH 秘钥登录 3. 如果是云, 用防火墙规则禁止 icmp, 只开放必要的端口 以上的要配置起来, 也就 10 分钟的事情, 挺快的. |
 |
10
flynaj Dec 16, 2018 via Android
改端口防那些机器人无脑扫描
|
Select Language