V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kisshere
V2EX  ›  程序员

是不是只要我把网站服务器 ssh 端口关了,就绝对安全了?

  •  
  •   kisshere · 2020-05-19 10:05:04 +08:00 · 8095 次点击
    这是一个创建于 1660 天前的主题,其中的信息可能已经有所发展或是发生改变。

    还有没有其它让黑客进入服务器的方式?

    59 条回复    2020-05-20 11:07:35 +08:00
    yakumo520
        1
    yakumo520  
       2020-05-19 10:06:19 +08:00   ❤️ 1
    兄弟,你太天真了
    smallgoogle
        2
    smallgoogle  
       2020-05-19 10:06:43 +08:00
    那别的端口呢?就算你不开 ssh 端口。只要你 ssh 开着。还能通过端口转发方式呢。
    fgwmlhdkkkw
        3
    fgwmlhdkkkw  
       2020-05-19 10:06:50 +08:00
    那你自己怎么办?
    bunnyblueair
        4
    bunnyblueair  
       2020-05-19 10:08:14 +08:00
    SSH-RSA 不香吗
    zengxs
        5
    zengxs  
       2020-05-19 10:09:37 +08:00
    把网卡拔了,就非常安全了
    wweir
        6
    wweir  
       2020-05-19 10:09:47 +08:00
    我只开了 ssh 端口的公私钥登陆,我觉得很安全
    gainsurier
        7
    gainsurier  
       2020-05-19 10:11:13 +08:00
    开了其他端口就有被侵入的风险
    nicevar
        8
    nicevar  
       2020-05-19 10:12:18 +08:00
    除非你不开启任何服务, 既然你是网站服务器, 80 端口你开么? 不是 ssh 端口开着不安全, 是你不采取任何安全防范容易被人给端了
    doudouwu
        9
    doudouwu  
       2020-05-19 10:12:38 +08:00
    任何一个端口都有可能拿到所有权限啊(理论上)

    “把网卡拔了,就非常安全了”
    --zengxs
    nicebird
        10
    nicebird  
       2020-05-19 10:16:01 +08:00
    ssh rsa+指定 ip 开放+内网开放
    nicebird
        11
    nicebird  
       2020-05-19 10:16:36 +08:00
    防住大部分吧,不过你还得对外提供服务,所以要看你对外提供的服务是不是有 bug,或者做了防护。
    systemcall
        12
    systemcall  
       2020-05-19 10:18:46 +08:00 via Android
    不是。
    别的服务也有可能有漏洞,而且你要怎么才能控制服务器呢?亲自拿个笔记本去机房维护吗?那样的话黑客可以想办法冒充你去机房,或者是买通你的机房的管理人员,所以也不是绝对安全
    hello365
        13
    hello365  
       2020-05-19 10:18:49 +08:00
    网站有漏洞,一样完蛋。关 ssh 端口只是相对安全些。建议密钥登陆就行,关没必要。
    yggd
        14
    yggd  
       2020-05-19 10:19:56 +08:00
    没有绝对的安全
    ThirdFlame
        15
    ThirdFlame  
       2020-05-19 10:21:01 +08:00
    绝大多数被黑的事件都不是直接从 ssh 进去的。 (当然也有 ssh 弱口令、密码泄露、私钥泄漏到的事件。)
    gearfox
        16
    gearfox  
       2020-05-19 10:22:17 +08:00
    万事几乎无绝对。。。
    tim2017
        17
    tim2017  
       2020-05-19 10:22:18 +08:00
    服务器前配俩保安,更稳妥 哈哈
    SingeeKing
        18
    SingeeKing  
       2020-05-19 10:26:37 +08:00
    关机才保险,毕竟风扇震动都能被利用 http://tech.sina.com.cn/csj/2020-05-04/doc-iircuyvi1267190.shtml
    systemcall
        19
    systemcall  
       2020-05-19 10:38:21 +08:00 via Android
    @tim2017 然后黑客先应聘保安,把另一个保安买通,之后找机会下手,就行了。看到底是多重要的东西
    Telegram
        20
    Telegram  
       2020-05-19 10:42:31 +08:00
    凡事没绝对,只要你网站代码有漏洞,一样可能提权然后给你开任何端口。
    不过 5 楼老哥说的网卡拔了,可以说是 99%安全,剩下 1%可能就是直接来主机物理入侵了
    @zengxs #5
    lzyliangzheyu
        21
    lzyliangzheyu  
       2020-05-19 10:45:31 +08:00
    关机。。。把硬盘拆了锁起来,哈哈哈
    mingl0280
        22
    mingl0280  
       2020-05-19 10:46:47 +08:00
    不是。
    1. 网站本身不是静态的,会有漏洞;
    2. 网站是静态的,但网页服务器程序有漏洞可以提权;
    3. 网站和程序都安全,但其他服务有暴露在外网的,有漏洞可以提权或越权。
    4. 网站和程序都安全,防火墙屏蔽其他服务,但防火墙有漏洞被渗透了。
    5. 社工拿到了你的后台。
    zengxs
        23
    zengxs  
       2020-05-19 10:49:34 +08:00
    @Telegram #20

    是的,所以也只能说是非常安全,而不是绝对安全
    kios
        24
    kios  
       2020-05-19 10:51:31 +08:00
    too young, too simple, sometime naive.
    hack
        25
    hack  
       2020-05-19 10:58:08 +08:00
    即便你在云平台买了个 vps,存了个 txt 就关机了。黑客也可能进你账户访问 vps 数据
    real3cho
        26
    real3cho  
       2020-05-19 10:58:56 +08:00
    服务器之于黑客只有想不想进一说,关几个端口就能防住的,充其量就是脚本小子而已。如果你的服务器还没被黑,只能说价值还不够。
    unixeno
        27
    unixeno  
       2020-05-19 11:11:14 +08:00 via Android
    反弹 shell 了解一下
    A555
        28
    A555  
       2020-05-19 11:15:12 +08:00
    电源拔了
    superrichman
        29
    superrichman  
       2020-05-19 11:20:15 +08:00 via iPhone
    没有绝对安全。只有入侵成本和你的服务器价值哪个更高的比较。
    lscexpress
        30
    lscexpress  
       2020-05-19 11:28:00 +08:00
    你把地球上除你以外的所有人都消灭了,那么你的网站就绝对安全了,这是唯一的让网站绝对安全的办法,亲测有效
    sleepm
        31
    sleepm  
       2020-05-19 11:30:38 +08:00
    自己 ss -antl 瞅一下开放的公网端口
    再 netstat -luntap | grep 端口 瞅下哪个进程哪个服务,改配置监听本地,或者关掉
    就算这些都做了,如果 web 应用有漏洞,那也白搭
    套个 cdn, waf 会相对安全些,没有绝对的
    imdong
        32
    imdong  
       2020-05-19 11:32:00 +08:00
    听我一句劝,该干啥干啥,防住普通的批量扫描即可。

    毕竟,你还不配得到那些攻击。
    opengps
        33
    opengps  
       2020-05-19 11:47:28 +08:00
    安全是个综合话题,你只开通 80,结果允许上传木马文件,照样不安全
    ddup
        34
    ddup  
       2020-05-19 11:52:48 +08:00
    如果被钉上 多得是方式黑你 一般服务器,被人也懒得黑你,但是一定要做好各方面大致和总体的安全性,防止别人低成本 /自动化黑客程序入侵 定时异地备份 一般就够了。
    Still4
        35
    Still4  
       2020-05-19 11:54:24 +08:00
    只要你有开放服务就有风险,曾经被 redis 的漏洞搞过
    pmispig
        36
    pmispig  
       2020-05-19 11:55:51 +08:00
    楼主把 sshd 关了,却开启了无密码 root 权限的 redis,卒
    Cielsky
        37
    Cielsky  
       2020-05-19 11:57:45 +08:00 via Android
    @SingeeKing 关机也有可能被人潜入给开机了,还是直接砸了比较好
    0ZXYDDu796nVCFxq
        38
    0ZXYDDu796nVCFxq  
       2020-05-19 12:00:08 +08:00 via Android
    拔网卡,关机,都不是绝对安全的
    因为可以通过宿主或者云平台访问你的磁盘
    建议用数据擦除工具清理磁盘,关机,销毁镜像
    如果云厂商有快照、备份还得想办法安全清理掉
    FS1P7dJz
        39
    FS1P7dJz  
       2020-05-19 12:03:44 +08:00
    只有拔掉网线才安全
    jackmod
        40
    jackmod  
       2020-05-19 12:31:43 +08:00
    提供商有 2FA 就开 2FA,保护控制台界面。
    服务器再装个梯子(哪怕是国内的),要登 ssh 必须先翻进内网。
    通过 ufw/iptables 只开放 443,守住这一个端口就够了。
    Owenjia
        41
    Owenjia  
       2020-05-19 12:40:02 +08:00
    不,相对其他服务,在正确配置的情况下,openssh 是比较安全的。
    而且见过直接搞服务提供商然后控主机的,绝对安全不太可能。
    saytesnake
        42
    saytesnake  
       2020-05-19 12:51:37 +08:00
    拔电源关机最安全。
    fensou
        43
    fensou  
       2020-05-19 13:08:08 +08:00 via iPhone
    安全又是个天地,建议面询专业人员
    killerv
        44
    killerv  
       2020-05-19 13:18:19 +08:00
    相比其他服务,稍微简单配置一下,SSH 出现安全问题的概率远远小于其他服务。
    cco
        45
    cco  
       2020-05-19 14:18:11 +08:00
    断电最安全。
    tangds99
        46
    tangds99  
       2020-05-19 14:25:04 +08:00
    关机最安全
    sfree2005
        47
    sfree2005  
       2020-05-19 14:39:15 +08:00
    没有绝对安全的,毕竟你做得网站就有一部分东西肯定是公开的。除非你网站没有什么特别重要的东西,实施行业一般标准的安全规则就行。别人要黑你网站也要有动机吧,只要破解一般的安全规则的成本高过你的资料成本,也就没有黑的动力了。
    sunziren
        48
    sunziren  
       2020-05-19 14:43:59 +08:00
    砸掉最安全
    xuanbg
        49
    xuanbg  
       2020-05-19 15:02:17 +08:00
    没有绝对的安全。所以安全就是两个问题:能不能和值不值。

    系统打好补丁,只开 80 端口,别的端口用白名单保护起来。这样搞一下不费什么事,但能入侵的就人就非常少了。这就基本解决了能不能的问题,然后就要解决值不值的问题了。如果是没什么油水的,以上安全措施就足够了,因为你已经不值得攻击了。高端黑客可没空来和你玩,有时间泡泡妹子不香吗?
    如果攻击成功能拿到大笔钱,那你就要花钱做更多的安全防护了。具体花多少,要看攻击成功后能获得多少利益。总之,只要用于攻击的成本高于收益,就不会被盯上。
    sayitagain
        50
    sayitagain  
       2020-05-19 15:14:41 +08:00
    兄弟啊,只要你的服务器插着网线,就没有绝对的安全。。。
    ryansvn
        51
    ryansvn  
       2020-05-19 17:44:59 +08:00
    综合楼上各种意见,结论是,机房一颗核弹下去,就安全了
    faceRollingKB
        52
    faceRollingKB  
       2020-05-19 17:58:02 +08:00
    ssh 就像是你家的门,不要以为你用水泥把门堵上别人就进不了你家
    xzc19970719
        53
    xzc19970719  
       2020-05-19 18:23:43 +08:00
    震网了解下?
    MC
        54
    MC  
       2020-05-19 23:01:53 +08:00 via Android
    拔网线也不安全,物理毁灭了解下,即便某邮件服务商号称把服务器装在山洞里,抗核弹,依然不能完全避免物理破坏。
    dnsaq
        55
    dnsaq  
       2020-05-20 00:05:47 +08:00
    是 你说的都对
    noobcoder1
        56
    noobcoder1  
       2020-05-20 10:31:11 +08:00
    即时打好系统程序补丁,改掉 ssh 默认端口,使用密钥登陆,开启 iptables, 基本上没人来鸟你了.... 真正会挖洞的不会闲着没事针对你的
    284716337
        57
    284716337  
       2020-05-20 10:38:44 +08:00
    所有的端口关了就安全了😂
    shunconf
        58
    shunconf  
       2020-05-20 10:54:25 +08:00
    我选择 rm -rf /* 安全无忧
    janda
        59
    janda  
       2020-05-20 11:07:35 +08:00
    除必要的端口要暴露外、如:443

    尽量少暴漏端口,需要命令行链接服务器的话、可以用隧道、或者堡垒机连接!
    当然、服务器的运维是少不了的,时不时去查看下服务器是否有异常!

    没有安全的服务器、只可尽量减少服务器的攻击、只要肯维护的话
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:58 · PVG 03:58 · LAX 11:58 · JFK 14:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.