最近有个人一直在猜解我的 ssh，五分钟猜一次，持续了快半个月了。
虽然我知道他猜不出来，但是一直在日志里晃悠，强迫症受不了啊
之前试过 /etc/hosts.deny，但是还是会进入 pam 验证过程后再拒绝
有什么办法能针对 IP，直接拒绝访问的方法吗？ iptables ？
换端口啊

就是你那个加入 /etc/hosts.deny 就可以了，而且 tcp_wrappers 的优先级貌似高于 iptables，没必要再加入 iptables

标准答案不是 fail2ban 吗?

阿里云 ECS 不天天被人扫么

装个 fail2ban 不用配置，默认就会帮你自动封

fail2ban+1
装上了不用配置直接就能防
当然要更严格,比如更少的失败次数更长的封禁时间,可以自己改配置

换个数字大一点的端口肿么样？或者改成秘钥登陆。。
或者 iptables -t filter -d ip -j REJECT ?

随便他扫。。。。。看着他从 0 次失败变成 50w 次失败 心情舒爽

301 到 10GB.test

使用 SSH KEY 来登陆，并且关闭密码登陆。
就没人尝试你的 SSH 密码了。

Changes since OpenSSH 6.6
=========================
Potentially-incompatible changes
* sshd(8): Support for tcpwrappers/libwrap has been removed.

懒，不想换，换了我的手机电脑上的 ssh 配置都得改
我一直以为 iptables 的优先级更高 /doge
端口已经是 5 位数字的了，密钥感觉不太方便
回头试试
怎么说呢，其实不知道他在扫还好，发现了强迫症就忍不了

把登陆成功的提示语改成：Permission denied, please try again.

iptables 的优先级更高，你理解无误

不方便？比密钥更方便唯有空密码了。

楼上 fail2ban 可破, 或者 iptables 也是美滋滋的
https://ferstar.org/post/root/ssrbei-e-yi-sao-miao-shi-xu-yao-zuo-de-shi-qing

我看行。。。

我端口都没换，把密码登录关掉，只允许 SSH 密钥登录，这样就行了

实测 openssh-6.6 版本 tcpwrappers 依然有效
加入 /etc/hosts.deny 之后再连 ssh：
“ ssh_exchange_identification: read: Connection reset by peer ”

我也强迫症 我就是强迫一定要看到对面登陆失败

Changes since OpenSSH 6.6，6.6 是最后一个能用的版本

噢噢，谢谢

mark

证书登录，如果对方能猜解出来，我也认了

关闭密码登入，换私钥，改端口

就算改密钥登陆，关密码，也还是有大把 ip 来尝试，顺便上了 fial2ban

/sbin/iptables -A INPUT -s 1.1.1.0/24 -j DROP />/sbin/iptables -A INPUT -s 1.1.1.0 -j DROP #ip

fail2ban + 最多三次尝试 + IP 白名单
白名单里放另一台服务器的 IP
SSH 改端口一般是第一件事，改的时候小心点，新的端口通了再删除旧的，不然连不上只能控制面板重装系统了。

只允许 秘钥登录 +1。
唯一有点方的就是 前段时间那个 xshell 被植入恶意后门那个，我当时更新到了中招版本。
不过知道它上传秘钥不，反正目前那个服务器啥也不干，如果发现被人黑了，我再换秘钥。

更换端口+秘钥登陆

console 呢？

今天好像看到一篇有关 ssh 私钥泄露的新闻，不知真假，不过还是小心为好。
另外，像这种扫你登录的可以直接 iptables ban 掉他
之前我的一个论坛，一直有人在猜管理员密码，看日志 ip 不是固定的，前 3 位一样，但第四位会变，于是我就将那个段的 IP 全 ban 了，之后再也没有猜解的出现

0.0 我是阿里云安全组仅允许固定 IP 访问 SSH 端口，不知道这样有用吗！

/etc/ssh/sshd_config
PasswordAuthentication no

ssh 关掉

有个脚本，如果检测到我登陆进去了，就把端口关上。没有登陆就开着端口。
然后我长年保持登陆

端口关了，怎么通信的？

随便扫，你能扫到算我输

port knocking，敲门敲对了才能 connect
https://wiki.archlinux.org/index.php/Port_knocking

这个还挺好玩的

万一你的 ip 变了。。。

57880 123.183.209.135
20925 58.242.83.26
16902 60.18.229.201
16878 58.242.83.35
16271 123.183.209.136
12324 59.63.166.83
11911 42.7.26.49
10259 121.18.238.106
9554 221.194.44.212
8816 218.65.30.190
8757 59.45.175.96
8605 221.194.47.242
8538 121.18.238.28
8455 123.244.9.47
8378 59.45.175.94
8373 121.18.238.119
8351 59.45.175.95
8209 221.194.47.224
8130 59.45.175.98
8050 218.87.109.150
7903 59.45.175.67
7773 121.18.238.123
7673 221.194.47.236
7417 221.194.47.233
48757 218.65.30.124
39393 123.244.9.46
38337 61.177.172.66
26713 58.242.83.14
21392 42.7.26.15
19163 218.65.30.126
10409 103.242.58.237
9516 218.65.30.30
8673 121.18.238.106
8469 42.7.26.60
7960 221.194.47.236
7947 61.177.172.60
7897 59.45.175.11
7712 58.57.65.112
7463 59.45.175.96
7440 121.18.238.125
7425 121.18.238.123
7361 221.194.47.242
7193 221.194.47.233
6772 221.194.44.212
6696 121.18.238.119
6659 59.45.175.95
6635 59.45.175.67
6109 121.18.238.28
开机半个月的 JJ

禁止密码登录，随便扫随便试
真要在外面的话用跳板机进去

我限制了只能深圳电信连进来……

只允许证书登录，密码登录的不安全!

前面有人说过了，关闭密码验证，使用 key 验证。

我只 listen 127.0.0.1，就没人能猜了

我都是先换端口，禁止密码开密钥登录，看日志

能监听 127.0.0.1 ？我改成 127.0.0.1 之后 ssh 就没法启动啊

随他猜 百十位的随机字符 猜得出来我也认了

1. 换端口
2. 禁止密码登陆
3. 禁止 root 用户登陆
三个全了基本就问题了

3 楼就有标准答案了呀，其他方法都会给自己带来不便

想看看大家遇到这种情况都是怎么处理的，集思广益嘛

fail2ban

fail2ban + ssh key

机智

https://xabcloud.com 强安利