garconcn Asked: 2012-05-25 09:08:18 +0800 CST2012-05-25 09:08:18 +0800 CST 2012-05-25 09:08:18 +0800 CST 如果我只允许我的 IP 在 iptables 中,我应该加固我的 SSH 吗? 772 我有几台没有加固 SSH 的 Linux 服务器: 允许 root 登录 对所有服务器使用相同的密码 使用默认的 ssh 端口 22 但是我设置了 iptables 只允许我自己的 IP 通过 SSH 连接到服务器。这会减轻上述不安全的做法吗? security ssh 4 个回答 Voted baumgart 2012-05-25T09:13:33+08:002012-05-25T09:13:33+08:00 答案总是肯定的。你永远不知道会发生什么。 Best Answer Jeff Ferland 2012-05-25T09:18:22+08:002012-05-25T09:18:22+08:00 允许 root 登录 对所有服务器使用相同的密码 使用默认的 ssh 端口 22 改变以上每一项都是降低风险的策略。改变所有这些东西并不能让你安全。离开本身并不危险。它确实增加了风险,但您可能更欣赏这种便利而不是风险。 对于 SSH 所需的完整 TCP 交换,控制 IP 访问范围对于不属于您网络的任何人(相同的第 2 层分支或控制上游路由)是相当有效的。 您确实冒着一台服务器遭到破坏可能会暴露所有人的密码的风险,但是您已经限制了一个人可以从哪里使用密码。 ...但如果便利是值得的,你会觉得还好,而且这些不受持有其他人重要数据的影响,那就去吧。只知道为什么要进行这些更改以及您为了方便而放弃了什么。 uSlackr 2012-05-25T10:28:22+08:002012-05-25T10:28:22+08:00 如果是我,我会: 锁定ssh 为普通用户设置私钥/公钥登录以自动登录 su -一旦我登录 因为不值得担心 (这有一个额外的好处,允许从任何你有腻子和你的 ssh 密钥的地方访问) Joe 2012-05-25T09:11:45+08:002012-05-25T09:11:45+08:00 IP 地址可以被欺骗。锁定您的 SSH。
答案总是肯定的。你永远不知道会发生什么。
改变以上每一项都是降低风险的策略。改变所有这些东西并不能让你安全。离开本身并不危险。它确实增加了风险,但您可能更欣赏这种便利而不是风险。
对于 SSH 所需的完整 TCP 交换,控制 IP 访问范围对于不属于您网络的任何人(相同的第 2 层分支或控制上游路由)是相当有效的。
您确实冒着一台服务器遭到破坏可能会暴露所有人的密码的风险,但是您已经限制了一个人可以从哪里使用密码。
...但如果便利是值得的,你会觉得还好,而且这些不受持有其他人重要数据的影响,那就去吧。只知道为什么要进行这些更改以及您为了方便而放弃了什么。
如果是我,我会:
su -一旦我登录因为不值得担心
(这有一个额外的好处,允许从任何你有腻子和你的 ssh 密钥的地方访问)
IP 地址可以被欺骗。锁定您的 SSH。