云服务器SSH服务加固

背景

之前把阿里云的服务器调整了部署 ,使得阿里云的服务器还是比较安全的。最近又弄了台香港的服务器,拿到服务器的第一件事情,就是将SSH的默认22端口修改成不常用的其他端口。原以为这样能避免不少暴力破解SSH的攻击,直到一周前,突然发现SSH的登录日志有大量的登录失败记录,显然有人(或者程序自动)扫描了服务器可访问的端口,并解析出了哪个是SSH服务监听的端口。

禁止密码登录

由于密码会因为暴力破解、撞库、其他网站拖库等各种场景被泄露,所以应该禁止采用密码认证方式,改由密钥认证。只要保存好私钥,相对来说更安全些。

虽然禁止root用户登录是一种更安全的措施,不过个人服务器每次操作都要提权好麻烦,暂时就不禁止了。

安装Fail2ban来屏蔽暴力破解

一开始设置了禁用10分钟,结果发现10分钟一到,攻击IP就会继续尝试暴力破解。于是就将禁用时间提升到了1小时。

配置防火墙IP白名单

为SSH服务的端口配置了IP白名单,只有白名单内才允许访问,这样就安全很多了。

可是,如何确保我自己访问是在白名单内呢?其实也很简单,可以使用腾讯的遨驰终端,通过遨驰终端连接服务器的SSH服务,这样只需要把遨驰终端的出口IP配置成白名单,我就可以在任意位置访问服务器的SSH了。