如何提高云服务器和内网linux机器的安全

水木社区手机版

主题:如何提高云服务器和内网linux机器的安全
30楼|ttaudi|2025-07-22 00:27:45|只看此ID
就是想知道密钥是否绝对安全，或者说想提升安全还有哪些办法。

云服务器的ssh端口改了，除了tinc和wg以外没有跑其它服务了。

【在 littlewoniu 的大作中提到: 】
: 密钥登陆的安全性不是更高么？
: 把默认端口都改一下，另外设置ip访问白名单
:
--
FROM 223.73.3.*
31楼|ttaudi|2025-07-22 00:28:52|只看此ID
感谢，ufw是不是现在流行的，我还在艰难的用iptable，学不会ufw。。。

fail2ban装了，默认配置

【在 ttorrr 的大作中提到: 】
: ufw
: fail2ban
--
FROM 223.73.3.*
32楼|ttaudi|2025-07-22 00:31:13|只看此ID
我用了密钥，但是当时图方便，所有内网机器使用同一个密钥文件，这样只需要设置一次，所有的都能访问了。。。
密钥怎么加密？是生成时指定一个密码吗？我现在用id_ed25519这个安全性怎么样？

【在 lcgogo 的大作中提到: 】
: 公网机器少开端口。ssh这块用复杂密码。其实用密钥已经足够，只不过私钥不要丢，最好加密钥密码，分开保存。
--
FROM 223.73.3.*

33楼|ttaudi|2025-07-22 00:33:42|只看此ID

ssh需要怎么设置吗？我现在打开密钥，关闭密码登录，允许root登录（因为觉得用密钥了，就可以打开root登录）。

Protocol 2
AddressFamily inet
Port 9022
LoginGraceTime 60
ChallengeResponseAuthentication no
MaxAuthTries 6
PermitEmptyPasswords no
GSSAPIAuthentication no
GSSAPICleanupCredentials no
UsePAM yes
PrintLastLog no
TCPKeepAlive yes
PidFile /var/run/sshd.pid
Banner none
PermitRootLogin prohibit-password
PubkeyAuthentication yes
StrictModes yes
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost no
PrintMotd no
AcceptEnv LANG LC_*
Subsystem       sftp    /usr/lib/openssh/sftp-server
ClientAliveInterval 180
ClientAliveCountMax 10
GatewayPorts yes
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
XAuthLocation /usr/bin/xauth

# Accept locale-related environment variables
AcceptEnv LANG LC_*
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

ChallengeResponseAuthentication no

【在 aosp 的大作中提到: 】
: 没有那么不安全
: 管好ssh
: 其它都是小事
: ...................
--
FROM 223.73.3.*

34楼|ttaudi|2025-07-22 00:35:03|只看此ID
这些验证有没有办法检查？

【在 brace 的大作中提到: 】
: 这种有安全措施的防护，更多的可能是配置错误（修改配置，安全防护失效了）导致的安全问题。建议以后做变更做一下验证，比如是否多暴露了端口在互联网上，或者临时开启了ssh密码登录等等。
--
FROM 223.73.3.*
35楼|ttaudi|2025-07-22 00:36:43|只看此ID
感谢，另外请问密钥方式安全吗？

目前用的服务是ssh、tinc、wg，这3个都是密钥类型的认证。就怕这种认证被攻破，内网机器全部敞开。

【在 yankaiqian 的大作中提到: 】
: 你已经配置为密钥方式登入，禁止了root密码方式登入，并且也没有特别开放其它服务，是比较安全的，应该没有什么问题。
:
--
FROM 223.73.3.*
36楼|ttorrr|2025-07-22 08:37:10|只看此ID
ufw比iptables简单多了
【在 ttaudi 的大作中提到: 】
: 感谢，ufw是不是现在流行的，我还在艰难的用iptable，学不会ufw。。。
:
: fail2ban装了，默认配置
--
FROM 218.249.94.*
37楼|coderfly|2025-07-22 09:57:44|只看此ID
需要把相关系统升级补丁
--
FROM 223.104.112.*
38楼|lcgogo|2025-07-22 13:04:32|只看此ID
嗯，生成的时候指定，当然也能改私钥加密码。然后用ssh agent 登陆

【在 ttaudi (ttaudi) 的大作中提到: 】
:  我用了密钥，但是当时图方便，所有内网机器使用同一个密钥文件，这样只需要设置一次，所有的都能访问了。。。
:  密钥怎么加密？是生成时指定一个密码吗？我现在用id_ed25519这个安全性怎么样？
:
:  【在 lcgogo 的大作中提到: 】
--
FROM 123.127.2.*
39楼|tower6|2025-07-22 19:12:59|只看此ID
没有固定ip也没关系，哪怕是b类地址，
一般家用宽带也有一个大概的IP范围，
这个就足够过滤掉绝大多数扫端口的垃圾

【在 ttaudi 的大作中提到: 】
: 家里宽带没有固定ip呀，所以才搞的云服务器做中转。
: 现在就是怕云服务器被攻破，然后和云服务器相连的机器全被控制（目前是设置云服务器可以登录tinc或wg网络所有机器）
:
--
FROM 223.104.40.*