1
wheat0r 72 天前 1
1 、密钥对认证方式确保了认证过程的安全,但是如果 SSH 有一个漏洞可以绕过认证过程,什么认证方式都没有意义。
2 、如果不希望用 ddns ,用类似 ipify 的东西获取地址发提醒也不难实现。 |
2
wnpllrzodiac 72 天前 via Android
ssh 直接暴露,等着被黑吧
|
3
jtshs256 72 天前 via iPhone
这种需求的话套 cf tunnel 吧
|
4
tool2dx 72 天前
|
5
z7356995 72 天前 via Android 1
ssh 用密钥验证的话足够安全,世界上那么多 vps 都是 ssh 登录操作的,不安全到处放马了,我是 80 块钱买个 10 年的 8 位数.xyz 的域名,然后用 cloudflare 解析,用 ddns-go 自动更新 ipv6 地址, 这样子不用复制粘贴,记住自己的域名就好了
|
6
z7356995 72 天前 via Android 1
我的是 nas ,出门在外,随时可以手机看家里 nas 上爱情动作片
|
9
wktrf 72 天前
组一个虚拟局域网感觉安全一些,防火墙只放行虚拟局域网的连接端口入站。ipv6 地址就定时检查然后调用域名解析商的 API 更新某个子域名的记录,如果感觉不安全可以加密地址放在某个子域名的 TXT 记录里,用的时候再解密。
话说有大佬知道怎么扫描某个域名下所有记录的内容吗?不过感觉就算把 ipv6 地址放在某个域名的记录里也没啥问题吧,把防火墙搞好就可以了。 |
10
Greendays 72 天前
可以用 zerotier ,缺点是用的时候必须在客户端笔记本那边启动一个程序。这个方案应该是安全的。
|
11
kenneth104 72 天前
支持 1 楼
|
12
Greendays 72 天前
如果直接暴露 22 端口用 SSH 登录的话,其实也没太大风险。注意要禁止 root 用户远程登录就可以,然后普通用户给一个复杂的密码,基本就是安全的。
|
14
0xlamlados 72 天前
不知道 tailscale 是不是符合你的使用场景,我的需求只是串流和访问电脑文件,一开始用 ddns nginx cf 域名处理一堆服务,后来发现还是 tailscale 方便快速且安全
|
16
KingOfUSA 72 天前
1. 感觉没什么问题,我的 windows 远程也是 ipv6 暴漏出去
2. 我把台式机的 ipv6 固定死了 |
19
duanxianze 72 天前
没啥不安全的,密钥登录要是还不安全,起码 5 成的服务器早就被干崩了,就算真有 0day 漏洞,也不至于先攻击普通人的电脑
|
20
leeyuzhe 72 天前
借楼问一下 ac 86u 是不是不支持 ipv6 的端口转发啊。
|
21
motai 72 天前
套一层 ssr 或者 vmess 还可以用混淆 用流量卡的定向流量
|
22
nekomiao 71 天前
v2 还是牛人多,暴露个 ssh 就能黑。
|
23
johnnyyee 71 天前
我也想用 ipv6 ,但是路由器开启 ipv6 后时不时打开 app 或者网页就很慢 QAQ
|
24
hancai2 71 天前
换个端口,被扫的概率估计能少 9 层以上吧。 话说开 ipv6 要钱吗
|
26
fanersai 71 天前
socat 转发端口出去
|
27
yfmir 71 天前
1. 换 ssh 端口、改成私钥认证,简单点的办法就是 cf tunnel ,还能绑 2FA ,去买个域名就好了
2. ddns |
28
SenLief 71 天前
你这个需求直接 tailscale 就可以了。
|
29
sl0000 71 天前
路由器上开个 ipv6 的 vpn 服务端, 直接连回去最方便
|
30
dyexlzc 71 天前
同意楼上,tailscale 会帮你打洞,打洞成功的话。ipv4 也是能直连的
tailscale 的打洞服务器还能自己部署在国内的 ecs 上,成功率很高。 之前我也是一直尝试 ipv6 直连,后面发现家里打开 ipv6 以后,各种 app 会有周期性的刷不出消息的情况,就关掉了,用 tailscale 打洞。zerotier 现在国内打洞&连接成功率不太好了 |
31
sinry 71 天前
还是 cf 吧,慢是慢了点
|
32
flynaj 71 天前 via Android
默认端口要改,IP 用 ddns-go
|
33
LnTrx 71 天前
先权衡一下是否想用虚拟组网工具。如果不想用,可以采取以下措施提升安全性:
1. 不要使用默认 22 端口,改一个高位不常用的端口 2. 确保可登录的账号都是强密码,更进一步可以禁止密码、强制使用私钥 3. 确认 IPv6 是 SLAAC 分配的(后缀是一长串),这样极难被扫到 4. 减少 IPv6 主动暴露的情况(例如 BT ),有关事项可以单独分一个 IPv6 地址 5. OpenSSH 问世 20 年,今年才出了首个远程执行漏洞,而且很难被利用。安全起见可以检查是否在受影响的版本。 虽然定时发送 IPv6 地址也是可行的,但 DDNS 在实际使用过程中更方便。 |
34
Jisxu 71 天前
tailscale 使用 subnet 功能,v6 公网的话,大概率能打洞成功直接用到宽带的上行。subnet 功能开了之后,你在笔记本上访问你的内网地址,ts 会自动帮你路由过去。而且 ts 有认证机制,你既能完全用上所有的端口,又有足够的安全性
|
35
JKOR 71 天前
@wnpllrzodiac 大多数 VPS 的 SSH 端口不也是直接暴露的,而且还是 ipv4 ,禁用密码登录,改用密钥认证,不会有问题的。
|
36
JKOR 71 天前
1. 大多数 VPS 的 SSH 端口不也是直接暴露的,而且还是 ipv4 ,禁用密码登录,改用密钥认证,不会有问题的。
2. 关于 ip 变动可以使用 ddns 绑定域名 3. 如果实在担心安全问题,可以使用 cf tunnel ,虽然 cf 国内访问速度不佳,但是 ssh 够用了。 |
37
yc8332 71 天前
1. ipv6 的 ssh 应该没什么人扫你,再用证书验证还有 bug 的,估计和你也无关了。。。世界上那些服务器都得跪
2. 动态 ip 的问题就是 ddns ,或者是搞个第三方推送 |
38
lihaohenqiang 71 天前 via iPhone
外网访问套个 VPN ,只开放内网端口
|