全球主机交流论坛

标题: 谈谈SSH [打印本页]

作者: 否要 时间: 2012-10-1 10:16
标题: 谈谈SSH
mjj们怎么设置SSH，我觉得禁止root登录，通过密钥。改端口什么的真是脱裤子放屁，多此一举啊。

作者: ccc 时间: 2012-10-1 10:18

不了解

作者: 过客 时间: 2012-10-1 10:19
改了端口，我发现从此没有看到过端口失败登陆记录（无人恶意破解登陆）。。。

脱裤子放屁？那你试试看更好的方法……

关闭SSH服务吧。

作者: wdfsinap 时间: 2012-10-1 10:19
关机吧...

作者: 誓誓 时间: 2012-10-1 10:20

过客发表于 2012-10-1 10:19
改了端口，我发现从此没有看到过端口失败登陆记录（无人恶意破解登陆）。。。

脱裤子放屁？那你试试看更好 ...

正解！！！

作者: 单手摘月 时间: 2012-10-1 10:24
提示: 作者被禁止或删除内容自动屏蔽

作者: 否要 时间: 2012-10-1 10:26

过客发表于 2012-10-1 10:19
改了端口，我发现从此没有看到过端口失败登陆记录（无人恶意破解登陆）。。。

脱裤子放屁？那你试试看更好 ...

改过端口之后用nmap什么的难道扫不出来？

作者: piaog 时间: 2012-10-1 10:32
关闭SSH服务吧。

作者: 过客 时间: 2012-10-1 10:33

否要发表于 2012-10-1 10:26
改过端口之后用nmap什么的难道扫不出来？

若有人有心真要入侵你，不用ssh也干掉你。

作者: steptodream 时间: 2012-10-1 10:34

否要发表于 2012-10-1 10:26
改过端口之后用nmap什么的难道扫不出来？

肯定能扫出来只不过很多人只扫默认端口而已所以我也同意认为改端口是治标不治本我跟你一样的观点
禁止root直接登录在设置文件里指定用户能登录使用公约密钥对认证指定用户才能su 等措施比改端口效果好的多

作者: 否要 时间: 2012-10-1 10:34
没有VPS中，完全不用关闭ssh，只是讨论

作者: 否要 时间: 2012-10-1 10:37

过客发表于 2012-10-1 10:33
若有人有心真要入侵你，不用ssh也干掉你。

对啊，通着电，连着网，开着端口，由人定的系统规则就不是万无一失的，改VPS端口什么的扫一下就出来了，所以觉得没必要

作者: peacepig 时间: 2012-10-1 10:39
提示: 作者被禁止或删除内容自动屏蔽

作者: 否要 时间: 2012-10-1 10:40

steptodream 发表于 2012-10-1 10:34
肯定能扫出来只不过很多人只扫默认端口而已所以我也同意认为改端口是治标不治本我跟你一样的观点
禁 ...

嗯，确实有人只扫默认端口，这样的话该端口还是有用的，唉，我思维不够严密啊

作者: 否要 时间: 2012-10-1 10:42

peacepig 发表于 2012-10-1 10:39
很简单的问题扫需要时间，有时间可以花在更有意义的事情上，有效防止蛋疼货 ...

可以放在后台扫，时间不是问题啊，蛋疼货都是很闲的

作者: 否要 时间: 2012-10-1 10:45

单手摘月发表于 2012-10-1 10:24
apt-get(yum) remove openssh

mv /* /etc/null

作者: 哥坏人 时间: 2012-10-1 12:06
本帖最后由哥坏人于 2012-10-1 12:10 编辑

: 目测楼主ubuntu上瘾，禁止root 带来的不便更是大大的，
例如sftp, 还要将登陆用户加入www用户组，通过sftp用户上传的文件还需要修改权限770
但是程序产生的文件权限用户组所有者是web服务器运行者，文件权限，可能因为服务器的模式文件权限，导致sftp用户读写不了，
sftp登陆，有切换root功能吗？没有的话，不能以sftp用户方便的修改程序产生的文件
另一做法，就是把web服务运行者改为当前ssh用户

ubuntu作为pc桌面下禁止root，因为多用户的考虑，是防止2b用户右键就把系统文件都删掉

vps作为单用户在使用，这样禁止了root，那只能用ftp来管理文件，真艹蛋啊

作者: hepac 时间: 2012-10-1 12:17
ipv6不解释

作者: 否要 时间: 2012-10-1 12:19

哥坏人发表于 2012-10-1 12:06
: 目测楼主ubuntu上瘾，禁止root 带来的不便更是大大的，
例如sftp, 还要将登陆用户加入www用户组，通 ...

额不怎么喜欢用ubuntu，一般用centos和opensuse，传文件我一般上传到/tmp里面，再通过su 到root账户进行操作，传文件的话还可以用rsync等等。。。。。

作者: 否要 时间: 2012-10-1 12:20

hepac 发表于 2012-10-1 12:17
ipv6不解释

求IPV6普及

作者: tobeychan 时间: 2012-10-1 12:29
那就是密码改复杂

作者: 哥坏人 时间: 2012-10-1 12:30

否要发表于 2012-10-1 12:19
额不怎么喜欢用ubuntu，一般用centos和opensuse，传文件我一般上传到/tmp里面，再通过su 到root账户进行 ...

**，sftp客户端没法直接修改网站程序

作者: steptodream 时间: 2012-10-1 12:50

哥坏人发表于 2012-10-1 12:06
: 目测楼主ubuntu上瘾，禁止root 带来的不便更是大大的，
例如sftp, 还要将登陆用户加入www用户组，通 ...

都有vps完全控制权限上传下载网站文件还被你说的这么复杂你真是把简单的问题复杂化

作者: sofs 时间: 2012-10-1 13:02
支持3楼 4楼 6楼 8楼 10楼

作者: robin123 时间: 2012-10-1 14:23
nmap 是可以扫描的出来的。不过禁止root 登陆，其他账户使用密约登陆。给sudo 权限。我觉得已经满好了。不过可以搞个denyhost等的软件，那么基本是安全的。还要注意应用的安全，不然白搭/

作者: peipei38 时间: 2012-10-1 14:32

作者: mix 时间: 2012-10-1 14:35
#Centos6 导入源
rpm -ivh http://apt.sw.be/redhat/el6/en/`uname -i`/rpmforge/RPMS/rpmforge-release-0.5.2-1.el6.rf.`uname -i`.rpm
#Centos5 导入源
rpm -ivh http://apt.sw.be/redhat/el5/en/`uname -i`/rpmforge/RPMS/rpmforge-release-0.5.2-2.el5.rf.`uname -i`.rpm
centos运行 yum install denyhosts -y
debian运行 apt-get install denyhosts -y
启动denyosts /etc/init.d/denyhosts start

作者: 落霞孤鹜 时间: 2012-10-1 14:43
物理隔离

作者: tobeychan 时间: 2012-10-1 15:57
理由都可以把

作者: 武藤兰 时间: 2012-10-1 20:17

作者: johnnyfu829 时间: 2012-10-1 23:02
用这个办法就挺好的：

http://www.lilynana.eu.org/thread-109755-1-1.html

复制代码

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)