V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
feelapi
V2EX  ›  服务器

生产用服务器,需要修改 ssh 端口么?

  •  
  •   feelapi · 2017-06-29 16:12:12 +08:00 · 5559 次点击
    这是一个创建于 2709 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在启动证书登陆,禁止 root 登陆,禁止密码登录等等措施之后,还需要吧 22 改成别的端口么?

    22 条回复    2017-12-02 12:33:32 +08:00
    Goheing
        1
    Goheing  
       2017-06-29 16:17:29 +08:00
    需要 防止发生惊讶的事.
    littleylv
        2
    littleylv  
       2017-06-29 16:19:26 +08:00
    需要
    但是操作需谨慎,小心改完上不去 ssh
    trepwq
        3
    trepwq  
       2017-06-29 16:19:59 +08:00 via iPhone
    改端口是为了防止扫,你可以看看 log,每天应该有不少登陆失败的
    Tink
        4
    Tink  
       2017-06-29 16:26:11 +08:00
    我改了
    feelapi
        5
    feelapi  
    OP
       2017-06-29 16:27:17 +08:00
    有 fail2ban,是看到不少扫描的。不过在本地开发时,用 vagrant,结果端口改了,会有些麻烦。要不我在 vm 里不启用这些?总之有些麻烦。
    huhufuck
        6
    huhufuck  
       2017-06-29 16:30:11 +08:00
    添加限制登录 IP 呢
    gouchaoer
        7
    gouchaoer  
       2017-06-29 16:31:12 +08:00 via Android
    不需要,改个长密码就 ok 了
    zhs227
        8
    zhs227  
       2017-06-29 16:31:25 +08:00   ❤️ 1
    vagrant 也可以更改端口的,需要加一下配置。

    guest 上的 ssh 端口是 8687。这样改了以后也可以 vagrant ssh 上去。

    config.vm.network :forwarded_port, guest: 8687, host: 2222, id: "ssh"
    config.ssh.port = 2222
    feelapi
        9
    feelapi  
    OP
       2017-06-29 16:35:42 +08:00
    @zhs227 这个代码是写在 vagrantfile 里的,在某些情况下,vagrant up 可能会失败。因为默认的是 2222。不行的话,我就在 vm 里暂时不用这些,这样的话,简单些。
    doubleflower
        10
    doubleflower  
       2017-06-29 16:41:02 +08:00 via Android
    你都禁密码登入了有什么好改的
    zhs227
        11
    zhs227  
       2017-06-29 17:10:42 +08:00
    @feelapi 我没有试过端口冲突的情况,应该主要起作用的还是上面的 id:"ssh",vagrant 应该会自动跳开冲突端口。
    claysec
        12
    claysec  
       2017-06-29 17:12:34 +08:00
    白名单或者限制请求数就行了。改端口还是治标不治本
    claysec
        13
    claysec  
       2017-06-29 17:12:42 +08:00
    白名单或者限制请求数就行了。改端口还是治标不治本。。。。
    MrMario
        14
    MrMario  
       2017-06-29 18:21:11 +08:00 via iPhone
    需要,一旦 ssh 爆出某漏洞,攻击者会直接拿攻击代码往全球 22 端口打
    fzleee
        15
    fzleee  
       2017-06-29 18:42:59 +08:00 via iPhone
    生产技术,仅仅对外开放 80 443 端口,22 号端口监听内网地址。
    fzleee
        16
    fzleee  
       2017-06-29 18:43:30 +08:00 via iPhone
    技术->环境
    feelapi
        17
    feelapi  
    OP
       2017-06-29 20:22:24 +08:00
    @fzleee
    这个好,学习了。
    snnn
        18
    snnn  
       2017-06-29 20:37:32 +08:00 via Android
    都可。
    不怕麻烦就改
    QQ2171775959
        19
    QQ2171775959  
       2017-06-30 16:37:41 +08:00
    改一下当然比较好,防范于未然。
    kurisu
        20
    kurisu  
       2017-07-13 04:04:38 +08:00
    需要,很多的攻击脚本感觉都是往 22 口打,爆破之类的,改了配置文件的 ssh 端口,记得把调整防火墙把那个端口打开,别问我为什么知道的,血的教训 orz,还好一个小时前有个自动快照
    kurisu
        21
    kurisu  
       2017-07-13 04:05:44 +08:00
    长密码被破只是时间问题,那天一上线 4999 次的错误输入,感觉应该是有更多,或许可以做个试错多少次就封 IP 的机制?
    LINAICAI
        22
    LINAICAI  
       2017-12-02 12:33:32 +08:00 via iPhone
    需要改的,最好禁止 root 远程登录,启用别的账户 ssh 后用 su 方式切换,就麻烦些
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1041 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:39 · PVG 04:39 · LAX 12:39 · JFK 15:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.