除非是內網段私有雲,不然一般 VPS 或雲主機的預設模式 ssh 是完全開放的,Port 22 對 0.0.0.0/0 全世界開放,只要知道 IP + 密碼即可登入,如果不是使用金鑰方式連線,非常建議建立 UFW 防火牆規則,將 SSH 登入限制為固定 IP 白名單,否則 SSH 端口可能每分鐘被測試 50~100 次。
這些都是正常的掃描行為:
Failed password for root from 152.xx.xx.xx
Failed password for root from 103.xx.xx.xx
Invalid user ubuntu from 185.xx.xx.xx
LOG 膨脹事小,如果密碼真的被猜出來,整台雲主機等於送給駭客當挖礦機玩具。
因此必須建立 SSH 白名單,方法如下:
步驟 1:安裝 UFW 防火牆(Ubuntu 標準 L4 防護)
apt update
apt install ufw -y
步驟 2:只允許你家 / 公司電腦的固定 IP 連線 SSH(紅色部分請改為您的固定 IP)
ufw allow from 125.227.xxx.xxx to any port 22
步驟 3:封鎖全世界的 SSH(IPv4/IPv6 全封)
ufw deny 22/tcp
ufw deny 22
步驟 4:開放網站必要 Port
ufw allow 80
ufw allow 443
步驟 5:檢查是否存在錯誤規則(如有 → 必刪)
ufw status numbered
若有出現以下規則必須刪除,否則 SSH 白名單無效:
1、全世界允許 SSH(危險)
[ 1] 22/tcp ALLOW IN Anywhere
刪除 → ufw delete 1
2、IPv6 全世界允許 SSH
[ 6] 22/tcp (v6) ALLOW IN Anywhere (v6)
刪除 → ufw delete 6
步驟 6:啟動防火牆(開始生效)
ufw enable
提示:
Command may disrupt existing ssh connections
Proceed with operation (y|n)?
輸入:y
成功後顯示:
Firewall is active and enabled on system startup
完成以上設定後,只有您預先加入白名單的那組 IP 可以 SSH 登入主機,其他任何來源的 SSH 請求都會被拒絕。
以上為此次工作心得撰寫,如有需要的朋友可參考。
工作心得撰寫:徐嘉裕 Neil Hsu
這些都是正常的掃描行為:
Failed password for root from 152.xx.xx.xx
Failed password for root from 103.xx.xx.xx
Invalid user ubuntu from 185.xx.xx.xx
LOG 膨脹事小,如果密碼真的被猜出來,整台雲主機等於送給駭客當挖礦機玩具。
因此必須建立 SSH 白名單,方法如下:
步驟 1:安裝 UFW 防火牆(Ubuntu 標準 L4 防護)
apt update
apt install ufw -y
步驟 2:只允許你家 / 公司電腦的固定 IP 連線 SSH(紅色部分請改為您的固定 IP)
ufw allow from 125.227.xxx.xxx to any port 22
步驟 3:封鎖全世界的 SSH(IPv4/IPv6 全封)
ufw deny 22/tcp
ufw deny 22
步驟 4:開放網站必要 Port
ufw allow 80
ufw allow 443
步驟 5:檢查是否存在錯誤規則(如有 → 必刪)
ufw status numbered
若有出現以下規則必須刪除,否則 SSH 白名單無效:
1、全世界允許 SSH(危險)
[ 1] 22/tcp ALLOW IN Anywhere
刪除 → ufw delete 1
2、IPv6 全世界允許 SSH
[ 6] 22/tcp (v6) ALLOW IN Anywhere (v6)
刪除 → ufw delete 6
步驟 6:啟動防火牆(開始生效)
ufw enable
提示:
Command may disrupt existing ssh connections
Proceed with operation (y|n)?
輸入:y
成功後顯示:
Firewall is active and enabled on system startup
完成以上設定後,只有您預先加入白名單的那組 IP 可以 SSH 登入主機,其他任何來源的 SSH 請求都會被拒絕。
以上為此次工作心得撰寫,如有需要的朋友可參考。
工作心得撰寫:徐嘉裕 Neil Hsu
留言
張貼留言