限制只能使用中国 ip 才能访问,这样会减少被暴力攻击的频率吗
 |
1
x86 2 days ago
禁 ping ,改默认端口,禁密码登入
|
 |
2
realpg PRO  3
从 2005 年起,我管理的服务器 ssh 都已经限制死了不只是中国,而是本省运营商的宽带和专线 IP 池。
基本没有扫描现象 特殊情况外出,用 port trigger 触发自动临时开门,telnet 顺序触发两个 TCP 端口后,本 IP 加入临时白名单 |
 |
3
zCoCo 2 days ago
限制国内可以减少一部分 我跟 2 楼思路差不多,从 GeoLite 获取所在省份的地址段,用 iptables 或者 nftable 搭配 ipset 配置端口策略,ssh 爆破再没遇到过
|
 |
4
bigtwo 2 days ago
同 2 楼,之前用 fwknop2 敲击开门,但感觉不好用,去年底用 ai 自己写了个三方敲击开门,平常关闭非必要端口,要用的时候全自动敲击再重连
|
 |
5
haukuen 2 days ago
我是禁 ping 且三次登录失败永封 ip,其实禁 ping 就基本遇不到爆破了,以前没禁的时候每天都会多不少被 ban 掉的 ip
|
 |
6
SpiritLingPub 2 days ago
禁 ping ,改默认 SSH 端口,不使用 SSH 时直接使用云服务器防火墙禁掉 SSH 登录,物理断开
|
 |
7
cocalrush 2 days ago
怎么发现被爆破呢
|
 |
9
crocoii 2 days ago via Android
改端口,能破 99.9999 的攻击。
|
 |
11
94nb 2 days ago
我是禁海外 ip ,ssh 只允许私钥登录,流量达到 xxx 关机
 |
 |
12
herozzm 2 days ago
如何禁海外登录,还维护一份海内外的 ip 库?
|
 |
13
pxw2002 2 days ago
linux 改成 3389 端口
|
 |
14
Magnetic OP @herozzm 直接让 ai 帮你搞,用 nftables 然后前置 geoip 白名单做入站,出站不限制,ssh 端口要留意,别把自己锁外边了
|
|
15
Magnetic OP @pxw2002 改端口是必须的,但是会有脚本扫,如果装了 fail2ban ,脚本扫到会瞬间拉满 f2b ,然后把 cpu 撑爆,这是最恶心的
|
 |
16
xqzr 2 days ago
管理端口(如 SSH )关闭 IPv4 侦听,减少 99% 扫描
|
 |
17
RW5kZXJBdmFyaXRp 2 days ago
@Magnetic 把 icmp 包的处理方式改成 drop 呢? ssh 配置端口敲门,成功之前全部 drop
|
 |
18
383394544 2 days ago
ssh 端口限 ipv6 访问 + 套一層 cloudflare tunnel + 限 cf ip 访问源站能減少很多问题。本地 v4 或 v6 到 cloudflare 的 edge ,然后 tunnel ipv6 回源到你的源站。
|
 |
19
docx 2 days ago via iPhone
限制只允许你常用的网段,更彻底
以免失联可以再把几个自己 VPS 的 IP 也加进去 GEOIP 搞复杂了,没必要 |
 |
20
billccn 1 day ago
VPS 的话我都是防火墙限到当前的/24 ,如果外出有需要用 VPS 服务商的控制台登陆改一下就行了。
|
 |
21
yungo8 1 day ago via Android
deny all; allow 自己的省份大致的一些 ip 段,后面不在里面的去云平台界面手动添加 ip
|
 |
22
Autonomous 1 day ago
我把家里的 NAS 关闭了 IPv4 入站,只放行 IPv6 ,立马清净了
|
 |
23
MFWT 1 day ago via Android
改端口,锁密码登录(只能公钥),fail2ban ,web 限制只能 CDN 的 IP 访问+ mTLS ,基本就安全了
|
 |
24
dode 1 day ago
改密钥登陆不就好了
|
 |
25
cctv6 1 day ago via Android
如果是自用的服务,用端口敲门就好了
|
 |
26
MoeMoesakura 1 day ago
改端口 22 放个自己写的 rust SSH 蜜罐,然后密码用 UUID
|
 |
27
follower 1 day ago
直接整个跳板机得了
|
 |
28
teaguexiao 1 day ago
AWS 上有个小技巧:用 Systems Manager Session Manager 代替 SSH ,直接封掉 22 口,连改端口这个需求都消失了。其他云也有类似的方案,GEOIP 白名单是备用手段。
|
 |
29
lujiaosama 1 day ago
云服务器直接拒绝防火墙 22 端口,谁都进不来,不用研究什么白名单。
自己要 SSH ,搞个异地组网,ZEROTER/EASYTIER 这类。配合 FAIL2BAN, 稳如老狗。 |
 |
30
datocp 1 day ago via Android
这年头翻个墙也不容易,来自互联网的封锁
其实比较感兴趣的是防火墙拦得了 DDoS 之前网上有 iptables recent hacker 的介绍,无非就是设定扫描端口,获得扫描者的源 ip ,动态封它多少时间,然后解锁。 当然从安全角度,不该访问的流量,连网站资源都节省了。用全局翻墙,就感觉到现在的互联网访问远远不如以前。 |
 |
31
aklllw 1 day ago
很有用,我见过被国内 IP 攻击直接找到阿里云腾讯云告状的。网络全实名的含金量
|
 |
32
manjuprajna 1 day ago
真是超级讨厌的,我的甲骨文,默认是非 root 而且用密钥登录,禁止密码登录,还是特么的 24 小时不停地扫啊扫,虽然我知道只是脚本自动挨个网段扫,但是我还是 I am angry
|
 |
33
shuaishuaide 1 day ago
搭建服务器的第一天我就发现了这个问题,甚至有一次已经被异常登录了。我目前的服务器已经不在公网开放 22/3389 端口,都是使用 sdwan 类软件进行虚拟组网,然后用内网 IP 进行登录管理。
我之前尝试过只对本省 IP 开放访问权限,后来发现,只开放本省也不安全,也会有一些本省 IP 来尝试进行爆破。 至于改端口、使用秘钥认证,都太麻烦了,我目前的方式我认为已经足够安全了。 |
 |
34
hackroad 1 day ago
这年头还有人在讨论 ssh 爆破??
|
Select Language