Aploium Blog

Cold code, warm soul.

@Aploium11月前

02/13
14:56
安全

几个避免SSH监听公网的思路

通常情况下, SSH监听外网, 改SSH端口能避免一些扫描器, 但是对于刻意的扫描还是能被找到的.
不让SSH对外listen, 能降低攻击面, 但是需要不影响正常的SSH访问

几个思路:
0. 如果条件允许, 能仅对特定网段监听当然是最方便的
1. 使用SSH -R来获得反向SSH隧道, 但是实现要求和条件都很麻烦
2. 平时关闭SSH服务, 用另一个守护服务接受请求(最好是UDP)来按需调起SSH服务… //好蛋疼啊:(
3. 使用类似shootback或ngrok的反向TCP隧道把只对本地监听的SSH转发到别的服务器上, 用户再从那台服务器访问

主要说一下3 (因为前几天才重写了一遍shootback XD)

Read More →

几个避免SSH监听公网的思路