这是一个创建于 124 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨晚看到爆出的 ssh 漏洞冒了一身冷汗,我的服务器刚好处于受害的版本内
立刻去安全组中关闭了 22 端口,只留了 3306 和 80 ,443 这三个端口
服务器统一用服务商的 vnc 进行管理
这样是否更安全一点?
立刻去安全组中关闭了 22 端口,只留了 3306 和 80 ,443 这三个端口
服务器统一用服务商的 vnc 进行管理
这样是否更安全一点?
42 条回复 • 2024-07-06 18:07:46 +08:00
 |
1
erquren 124 天前
升级 ssh 解决
|
 |
2
busier 124 天前  4
标准的 vnc 协议是无加密明文传输的
再说了,更新下 sshd 要花钱吗? |
 |
3
duanxianze 124 天前
3306 更不安全吧?
|
 |
4
superrichman 124 天前
公网数据库,完美的靶子
|
 |
5
churchmice 124 天前
看完就感觉挺无语的
为嘛你觉得 80,443 端口安全呢? apache/nginx/php 暴的漏洞还少吗? 3306 就更不用说了 |
 |
6
laikick 124 天前
请使用 零信任.
|
 |
7
selfly 124 天前
后知后觉了,吓的我赶紧去看了下我暴露在公网的树莓派,还好树莓派 OpenSSH_8.4p1 不在漏洞版本范围内
|
 |
9
Features OP |
|
10
Features OP @churchmice 80 和 443 必须要开,有漏洞也没法子了。。。
|
 |
11
gesse 124 天前
改成非 22 端口,应该 99.999%避免所有
|
 |
12
yangg 124 天前
@erquren ubuntu 22.04 怎么升级?
阿里云的切到 ubuntu 官方镜像,还是 sudo apt full-upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done Get more security updates through Ubuntu Pro with 'esm-apps' enabled: gsasl-common libgsasl7 Learn more about Ubuntu Pro at https://ubuntu.com/pro # # OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS. # RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling. # For more details see: https://ubuntu.com/security/notices/USN-6859-1. # The following packages have been kept back: python3-update-manager ubuntu-advantage-tools update-manager-core 0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded. ➜ apt apt policy openssh-server openssh-server: Installed: 1:8.9p1-3ubuntu0.10 Candidate: 1:8.9p1-3ubuntu0.10 Version table: *** 1:8.9p1-3ubuntu0.10 500 500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages 100 /var/lib/dpkg/status 1:8.9p1-3 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages |
 |
13
retanoj 124 天前
OP 看完楼里回复,一总结发现:就啥也不让开呗
|
 |
14
totoro625 124 天前 1
几十台服务器,留一台作为堡垒机不行吗,所有服务器都配置 22 端口白名单给指定服务器
|
 |
15
ladeo 124 天前
VNC 也不安全啊
|
 |
16
shakeyo 124 天前
@churchmice 看完你这言论也挺无语的,意思是什么端口不暴露就安全是吗,因噎废食吗?
|
 |
17
DefoliationM 124 天前 via Android
端口全关了,用 tailscale 连
|
 |
18
laminux29 124 天前 1
任何接入方案都可能有漏洞。企业级的安全做法是,多层接入方案,来提高整体安全性。比如 Linux 的 VPN + OpenBSD 的 SSH + Windows 的 RDP ,3 套连接方案一起用,再加上 fail2ban + 地域 IP 白名单 + IPS ,3 层安全,不仅黑客进不去,自己也进不去。你就说安不安全。
|
 |
19
wowbaby 124 天前
为啥喜欢默认端口?我改至少 4 位数的端口,服务过那么多小企业,服务器从上线就没安全更新过,也没见过有事的,每天一堆的扫描,看到很多有事的都是用的 web 开源程序的漏洞导致。
|
 |
21
byte10 124 天前
1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上,攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上,目前没有在可接受时间内的利用方案,但未来的改进可能使其成为现实。
大多数安全的问题,都是有很必要条件的,不用折腾这些了。 |
 |
22
xdzhang 124 天前
你 3306 也放出去啊。
|
 |
24
huangcjmail 124 天前
@Features #23 可以配置指定网段才能连过去的,把数据库的集群放一个小网段下就行。
|
|
25
Features OP @huangcjmail 感谢感谢,我知道怎么配置了
|
 |
27
sampeng 124 天前
所有人都看漏了。。服务商的 vnc 。是阿里云吗?直接付费买他的堡垒机。所有机器不开外网。暴露外网都走 slb 。就只有你接口漏洞了。
|
|
28
sampeng 124 天前
嫌贵就 jumpserver 走着。jumpserver 的机器和公司 vpn 打通。ipsec 的安全性还是有保障的
|
|
29
sampeng 124 天前
我觉得很神奇。。。。我已经看到无数的公司的阿里云的机器直接申请 eip 暴露出公网。。真不嫌命大和麻烦
|
 |
30
LokiSharp 124 天前
挂个 wireguard 除了 80 443 端口都不对外开放
|
 |
32
iyiluo 124 天前
只要是人写的软件,都可能出现漏洞,除非你不所有端口都关了
|
 |
33
gefangshuai 124 天前
开了 3306 ?你为什么不做个 vpn 呢?挺无语的
|
 |
34
opengps 124 天前
就算你只开通 80 端口,端口的大问题算是合格了,但是你怎么保证你的 web 没有漏洞?
|
 |
35
mingtdlb 124 天前
没必要太担心,安全是相对的,做好基本的防护,足以。比如这个 ssh 你平时有加 fail2ban 或者登入几次失败后锁定账户,都能缓解,还有之前那个 CVE-2024-1086 普通用户提权,那也需要普通用户进去了不是
成功利用漏洞是需要一定条件的,而且还要看你是否有价值。 |
 |
36
azarasi 124 天前 1
只允许 vpn 访问 ssh 端口不就行了
|
 |
37
om2mo 124 天前
就算有那个漏洞你觉得实现起来容易吗?
|
 |
38
msg7086 124 天前
升级 SSH ×
杀掉 SSH √ 不是很能理解一些人的脑回路……系统安全本来就依赖软件经常更新,经常打上安全补丁。 SSH 关了有什么用,下次照样从你没打补丁的 Web server 进来。 |
 |
39
daimiaopeng 123 天前
因噎废食?
|
 |
40
oneisall8955 123 天前 via Android
3306 为什么要开到公网?既然是局域网复制读写分离,MySQL 绑定的网卡到局域网的 IP 就行了
|
 |
41
kios 123 天前
1. 升级 ssh
2. 更改默认端口 3. 禁止用户名密码登录,改用密钥登录 |
 |
42
Paulownia 121 天前
那个洞利用难度很高吧。另外相信我,只要没有弱口令,ssh 绝对是楼主提到的服务端口里面最安全的
|
Select Language