那些遇到过的问题

对于基于“端口敲门”的 SSH 端口保护,是否有一个强大的、低麻烦的解决方案?

Ale*_*x R 2 security firewall ssh

通过健壮和低麻烦,我的意思是不涉及复杂的 iptables 设置,不涉及 apache,不需要额外的客户端程序,不需要从 cron 运行脆弱的 shell 脚本等。

有没有人有 sshd 和 ssh(客户端)补丁来启用某种形式的端口敲入内置到 sshd 服务和客户端本身?

例如,在收到正确加密和验证的 UDP 数据包之前拒绝端口 22 上的连接,这很好。

我很失望所有端口敲除解决方案都是无耻的黑客攻击,而不是对相关程序进行良好集成和测试的补丁。

Sim*_*onJ 6

Knockd似乎是较成熟的实现之一,尽管不符合您作为 sshd 本身补丁的标准。我个人更喜欢外部程序,原因包括:

  • 它可用于帮助保护其他服务(例如 IMAP、OpenVPN)以及 ssh
  • 将额外的功能修补到 sshd 会增加引入漏洞的可能性(无论这样的补丁如何“测试”,sshd 都以 root 身份运行,因此最小的缺陷可能会被证明是非常讨厌的)

  • +1 表示不修补核心系统守护进程并保持单独的功能......好吧,分开。 (3认同)

归档时间:

查看次数:

282 次

最近记录:

15 年,10 月 前
相关归档
如何在缓慢/不稳定的连接上 ssh? 22
如何在 Apache httpd 2.2.15 上禁用 SSLCompression?(防御犯罪/野兽) 14
ssh ProxyCommand 实际上是如何工作的? 11
减慢通过 Linux 路由器的单个连接? 8
在 Ubuntu Server 中更改终端颜色 7
可以通过 SSH 连接,但不能通过 x2go 7
主机的系统管理员 - 他们可以查看文件吗? 4
当 PasswordAuthentication=no 时,是否仍然需要 PermitRootLogin=prohibit-password? 4
成功登录前 10 秒的 SSH 延迟 3
在生产服务器上让 « PermitRootLogin yes » 真的是一种不好的做法吗? 3
难疑归档
删除 8 GB RAM 机器上的页面文件有什么好处或坏处? 218
bash:以红色打印 stderr 144
SSH 密钥对生成:RSA 还是 DSA? 104
在 ssh 中不分配终端有什么好处? 78
如何在ansible中统一包安装任务? 75
每个子域都需要自己的 SSL 证书吗? 74
_default_ VirtualHost 在 443 端口重叠,第一个优先 69
用户定义的 bash_completion.d 脚本的标准位置? 68
循环 DNS 是否“足够好”用于负载平衡静态内容? 67
Nginx 位置正则表达式不适用于代理传递 53