SSH 的客户端证书身份验证

SSH 的客户端证书身份验证

我的服务器在我的 SSH 端口上不断受到暴力攻击。

我正在使用非标准 SSH 端口、端口扫描器的防火墙黑名单,并且我还使用自定义的类似 fail2ban 的脚本来禁止我的 SSH 端口上的违规 IP 地址。然而,这些攻击是分布式的,即使我阻止了违规 IP,似乎也会有无限源源不断的新攻击 IP。

是否有某种身份验证机制,使 SSH 服务器仅对授权客户端做出反应?

我认为wireguard 中也存在类似的东西。服务器将完全忽略任何未使用正确密钥的网络流量。这样攻击代理甚至不知道是否有任何东西正在侦听该端口。

SSH 是否存在类似的东西?这样,如果授权客户端连接,我的 ssh 服务器只会回复登录提示?

这可能是客户端证书身份验证的作用吗?

答案1

服务器将完全忽略任何未使用正确密钥的网络流量。这样攻击代理甚至不知道是否有任何东西正在侦听该端口。

SSH 是基于 TCP 的协议。身份验证是在 TCP 连接内部完成的,这意味着需要首先使用 TCP 握手来建立 TCP 连接。这意味着 SSH 本身无法拥有在成功身份验证之前根本不对网络流量做出明显反应的机制。

虽然有机制端口敲门或变体单包认证它添加了一个预身份验证步骤,只有通过此步骤的源 IP 地址才能连接到 SSH 服务器。

相关内容