前些天买了个境外服务器本来是打算做梯子用的。可是买的第二天就发现了有安全问题。
第二天登陆进去服务器的问候语就提示在本次登陆和上次成功登陆之间共有三千多次失败登陆。这个消息着实吓我一天。然后我查登陆日志。发现了很多其他国家的IP。像什么孟加拉国,土耳其,而且还有中国内陆的天津,青岛。
还好我的密码比较复杂。不然真的被那些脚本小子猜出来了。
然后我便在百度上Google了一下。总体来说有如下几种简单的方案。当然也有更加安全的方案。但是配置也更复杂,还要花时间去学习,不好。
- 更改SSH登陆的默认端口
- 禁止root账号登陆
- 使用智能卡登陆
- 禁止密码登陆,使用秘钥登陆
- 开启防火墙,添加防火墙白名单
- 使用fail2ban 软件(大多数选择)
- 自己写脚本监控登陆日志,并添加到cron定时任务,如果有某个ip在指定时间内有指定次数次失败登陆就把此Ip加入到deny.hosts。(实际跟上一个软件同理)
基本上做到了1,2两条就能预防大多数攻击了。