ubuntu 下的 sshd 是否具备抗暴力破解的拒绝服务功能？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 1653 天前的主题，其中的信息可能已经有所发展或是发生改变。

比如，一个未知身份连接进来尝试错误几次用户名 /密码之后，就自动屏蔽几分钟。
这样可以极大的延缓密码被试出来。

密码

Ubuntu

sshd

屏蔽

28 条回复 • 2021-07-27 10:04:57 +08:00

wzxlovesy

2021 年 7 月 25 日 via Android

fail2ban

dangyuluo

2021 年 7 月 25 日

sshguard 更优

wzxlovesy

2021 年 7 月 25 日 via Android

用 ssh key 也行

LeeReamond

2021 年 7 月 25 日

默认无拒绝，所以有一些速度很快的工具，内网的话可以默认为 10 位内弱密码容易破

huoshen

2021 年 7 月 25 日 via iPhone

设置公钥登录并禁止密码登录，基本上一劳永逸了

Yadomin

2021 年 7 月 25 日 via Android

不设置用户密码就行了🐶

LiangBryan

2021 年 7 月 25 日

denyhosts

yeqizhang

2021 年 7 月 25 日 via Android

我刚刚在我的腾讯轻量服务器做了这个功能，首先 hosts.deny 拒绝所有 ssh 和 sftp，然后 hosts.allow 只放开我去的那几个省份的 ip 。这几个省份的人爆破我怎么办呢？直接定时十分钟跑脚本分析 auth.log 日志，超过一定次数直接 iptables input drop

Ariver

2021 年 7 月 25 日 via iPhone

iptables 有一个很骚的操作必须先发一个特定的数据包比如 ping 才给你 ssh
可以搜一下

hallDrawnel

2021 年 7 月 25 日

直接关闭密码登录

msg7086

2021 年 7 月 25 日

@Ariver Port Knocking ？

iBugOne

2021 年 7 月 25 日 via Android

@yeqizhang 为啥要把 fail2ban 这么好用的已有的轮子自己重新造一遍

Osk

2021 年 7 月 25 日

可以使用 TFA, 手机 App (Google Authenticator 或者 Microsoft Authenticator 都行)生成一个 30s 的动态密码, 不方便使用证书登录的计算机我就用的 TFA 动态密码.

另外想吐槽下 Ubuntu 默认启动 sshd 这操作实在不习惯(虽然人的因素占安全风险大头: 弱密码).

zhhww57

2021 年 7 月 25 日

@Ariver 我这也有个骚操作，可以不开放任何 tcp 端口，只开放 udp 出站，这种情况下接入

ZhiyuanLin

2021 年 7 月 25 日

不开放密码登录不就行了。
要更强点就配置 WireGuard，SSH 只开放内网登陆，登录时候必须 WireGuard+SSH 私钥。

yeqizhang

2021 年 7 月 25 日 via Android

@iBugOne 主要一开始我搜到的解决办法是 hosts.deny，脚本往这文件里禁了一堆 ip 觉得不爽，就想到直接把国外的都禁了，但是 ip 库太大也不全，找到一个国内省份的 ip 库，就想只放开几个省的就行了，结果这几个省还是有人搞事情，就想着 iptables 来弄了。权当花了点时间了解了些东西