有人猜解 Linux 的 ssh 服务，你们是怎么处理的？

@est 我看行。。。

我端口都没换，把密码登录关掉，只允许 SSH 密钥登录，这样就行了

@sagaxu 实测 openssh-6.6 版本 tcpwrappers 依然有效
加入 /etc/hosts.deny 之后再连 ssh：
“ ssh_exchange_identification: read: Connection reset by peer ”

@WordTian 我也强迫症 我就是强迫一定要看到对面登陆失败

@zlfzy Changes since OpenSSH 6.6，6.6 是最后一个能用的版本

@sagaxu 噢噢，谢谢

mark

证书登录，如果对方能猜解出来，我也认了

关闭密码登入，换私钥，改端口

就算改密钥登陆，关密码，也还是有大把 ip 来尝试，顺便上了 fial2ban

/sbin/iptables -A INPUT -s 1.1.1.0/24 -j DROP #网段
/sbin/iptables -A INPUT -s 1.1.1.0 -j DROP #ip

fail2ban + 最多三次尝试 + IP 白名单
白名单里放另一台服务器的 IP

SSH 改端口一般是第一件事，改的时候小心点，新的端口通了再删除旧的，不然连不上只能控制面板重装系统了。

只允许 秘钥登录 +1。

唯一有点方的就是 前段时间那个 xshell 被植入恶意后门那个，我当时更新到了中招版本。
不过知道它上传秘钥不，反正目前那个服务器啥也不干，如果发现被人黑了，我再换秘钥。

更换端口+秘钥登陆

@zpvip console 呢？

今天好像看到一篇有关 ssh 私钥泄露的新闻，不知真假，不过还是小心为好。

另外，像这种扫你登录的可以直接 iptables ban 掉他

之前我的一个论坛，一直有人在猜管理员密码，看日志 ip 不是固定的，前 3 位一样，但第四位会变，于是我就将那个段的 IP 全 ban 了，之后再也没有猜解的出现

0.0 我是阿里云安全组仅允许固定 IP 访问 SSH 端口，不知道这样有用吗！

/etc/ssh/sshd_config
PasswordAuthentication no

ssh 关掉

有个脚本，如果检测到我登陆进去了，就把端口关上。没有登陆就开着端口。
然后我长年保持登陆

@yingtl 端口关了，怎么通信的？

随便扫，你能扫到算我输

@ArcticL port knocking，敲门敲对了才能 connect
https://wiki.archlinux.org/index.php/Port_knocking

@sagaxu 这个还挺好玩的

@woshinide300yuan 万一你的 ip 变了。。。

57880 123.183.209.135
20925 58.242.83.26
16902 60.18.229.201
16878 58.242.83.35
16271 123.183.209.136
12324 59.63.166.83
11911 42.7.26.49
10259 121.18.238.106
9554 221.194.44.212
8816 218.65.30.190
8757 59.45.175.96
8605 221.194.47.242
8538 121.18.238.28
8455 123.244.9.47
8378 59.45.175.94
8373 121.18.238.119
8351 59.45.175.95
8209 221.194.47.224
8130 59.45.175.98
8050 218.87.109.150
7903 59.45.175.67
7773 121.18.238.123
7673 221.194.47.236
7417 221.194.47.233

48757 218.65.30.124
39393 123.244.9.46
38337 61.177.172.66
26713 58.242.83.14
21392 42.7.26.15
19163 218.65.30.126
10409 103.242.58.237
9516 218.65.30.30
8673 121.18.238.106
8469 42.7.26.60
7960 221.194.47.236
7947 61.177.172.60
7897 59.45.175.11
7712 58.57.65.112
7463 59.45.175.96
7440 121.18.238.125
7425 121.18.238.123
7361 221.194.47.242
7193 221.194.47.233
6772 221.194.44.212
6696 121.18.238.119
6659 59.45.175.95
6635 59.45.175.67
6109 121.18.238.28

开机半个月的 JJ

禁止密码登录，随便扫随便试
真要在外面的话用跳板机进去

我限制了只能深圳电信连进来……

只允许证书登录，密码登录的不安全!

前面有人说过了，关闭密码验证，使用 key 验证。

我只 listen 127.0.0.1，就没人能猜了

@WordTian 我都是先换端口，禁止密码开密钥登录，看日志

@iceheart 能监听 127.0.0.1 ？我改成 127.0.0.1 之后 ssh 就没法启动啊

随他猜 百十位的随机字符 猜得出来我也认了

1. 换端口
2. 禁止密码登陆
3. 禁止 root 用户登陆

三个全了基本就问题了

3 楼就有标准答案了呀，其他方法都会给自己带来不便

@intsilence 想看看大家遇到这种情况都是怎么处理的，集思广益嘛

fail2ban

fail2ban + ssh key

@est 机智

https://xabcloud.com 强安利

采用公钥验证。。。。

denyhosts

搞个 docker 镜像给他登陆，把容器里面的网络关掉，记录信息，看能不能反套路一波

换端口+证书登录。

找个 ssh 的蜜罐，开个十几个的，真的 ssh 端口只有自己知道，不 OK ？
寻龙点穴之 ssh 七星疑冢（滑稽）

如果是那种无脑机器扫描，换端口就行了，如果是针对性的用用密匙

改证书登录，在 /etc/ssh/sshd_conf 把密码登录 false 掉，随他怎么猜

@srx1982 主要我的情况是不重启路由就 IP 不变，要变了再去阿里云安全组里更新一下喽。嘻嘻~~~~

之前也有过密码被扫描的困扰。后来只允许密钥登录。但加密钥又实在太麻烦。现在用了 Google 验证器做两步验证，有 key 可以免密码，没 key 需要 Google 验证和用户密码

好吧没注意审题。这种情况只能蜜罐了。

集成 Google Authenticator 双因子登录

头一次听说 port knocking，真的很 6 ！正在研究中。