服务器被尝试爆破怎么办

昨天晚上就发现了,今天早上一看还在爆破 :joy:
我关闭了默认ssh端口,定义了新端口,还开了了fail2ban
求助各位佬们都是怎么解决这种问题的?
贴一个日志

1 Like

白名单

家里电信网的ip是动态的…

你既然开了fail2ban,为何不选择直接封了这个ip?我都是3次失败ip直接拉黑名单

自己要是忘了密码,3次都没输对咋办 :joy:

关闭密码登录,用密钥。他撞任他撞。

1 Like

新端口+fail2ban+密钥,实在不行只允许跳板机IP登录

1 Like

俺已经关了,这才是我纳闷的,我自己撞显示的是
No supported authentication methods available [preauth]
但是这个攻击的人显示的是
Invalid user service from 206.189.90.67 port 38914
input_userauth_request: invalid user service [preauth]
意思是只要被他撞到用户名,就可以采取下一步…
这才是我担心的 :joy:

只开密钥登录,密码登录关了

25 Likes

之前默认是10min5次的阈值,这个攻击方式是10min攻击一次,所以没有ban到,我现在改成了24小时10次的阈值还开了邮件提醒,现在在蹲一个邮件 :clown_face:

我一直都是密钥登陆,所以很郁闷他是怎么攻击进来的…

无效攻击,不必在意

1 Like

是不是只要撞到用户名才继续进行密码验证,那就不用太担心了,这种可能是纯扫弱密码的,不是那种"惦记"的贼
密码这边做足了就可以,建议上密钥,如果真的担心的话自己整一个SSH登录提醒就好

我之前被撞过,以前不关注这些,直到我发现root下多了几个目录 :joy:,有点杯弓蛇影,见笑了

密钥登录,备份好密钥,关闭密码登录,也不怕忘记密码,加上fail2ban,再被爆破那也没有办法了 :rofl:

25 Likes

我刚才发现现在还支持双因素认证, :rofl:
流程类似于这样:
第一步 密钥登录 输入密钥口令(如果有)
第二步 二次验证 输入验证码
第三步 账户登录 输入账户密码
简直无敌 哈哈哈 纯属自己折腾自己了
这个流程应该这样比较合理:先验证密钥如果密钥口令验证不通过,就触发二次验证输入验证码,验证码对了再输账户密码,但是如果密钥口令对了,就不再需要进行后面的操作,直接登录系统。

1 Like

这样我直接撞口令不行吗

你得有密钥呢

这个我后来研究了,开二次验证应该就是用密码不用密钥,这俩不需要一起开

1 Like

From 快问快答 to 开发调优