停止/启动 Webmin 和 SSH 的更好方法

停止/启动 Webmin 和 SSH 的更好方法

最好不要让 webmin 一直运行...只需在需要时通过 ssh 启动它...

所以,我只是停止 webmin,并让 SSH 始终运行...当我需要访问 webmin 时,我通过 SSH 启动它。

但来自不同国家的人都在试图暴力破解我的 SSH。我可以使用 iptables 来减少暴力破解。

但因为我感觉仍然不安全(大约 3 个月前),所以我停止了 SSH,让 webmin 始终通过自定义端口运行。我只在需要时通过 webmin 启动 SSH。结果,SSH 上不再有暴力破解,webmin 上也不再有暴力破解(可能是因为攻击者不知道我的 webmin 自定义端口)

但我认为这仍然不太安全。我无法限制对某些 IP 的访问,因为我使用的是随机 IP。如果我同时停止 SSH 和 webmin,我将无法访问我的服务器。

有人知道解决这个问题的更好的方法吗?

答案1

一些想法:

  • 我更相信 ssh 能够抵御攻击,而不是 WebAdmin。在不同的端口上运行 ssh。
  • 一直运行 shh,但切换到基于密钥的身份验证。您无需输入发送到 ssh 服务器的密码,而是在 ssh 客户端上有一个文件或一个 USB 密钥。您可以用密码保护此密钥,但此密钥永远不会通过网络发送。对服务器进行暴力密码尝试是无用的,因为 ssh 服务器不再需要密码进行身份验证。
  • 使用端口敲门。这个想法是,您的服务器仅在客户端尝试以特定顺序连接到一组特定端口后才允许连接。我从未使用过它。

在我建议的所有方法中,将 ssh 服务器切换到基于密钥的身份验证并将密钥放在笔记本电脑或 USB 上可能是最安全的。但是,如果您丢失了密钥文件,您就倒霉了。

答案2

sshd在非标准端口上运行 - 这几乎消除了暴力攻击。

就我个人而言,我从未见过 Webmin 或 的问题ssh,但如果您担心的话,您可以ssh在非标准端口(例如 10101)上运行,然后仅在需要它之前通过ssh如下调用启动 webmin:

ssh user@host -p 10101 'service webmin start'

然后,完成 Webmin 操作后:

ssh user@host -p 10101 'service webmin stop'

答案3

这不是必需的。我管理的服务器 24/7 全天候运行 SSH 和 webmin,多年来从未出现过问题。只需确保您有强密码即可。

如果您担心 Webmin,请将其关闭,并且只能通过 SSH 隧道访问它。

但是,完全没有必要打开和关闭 SSH。每个人都会遭遇 SSH 暴力破解尝试——只需确保您的密码非常强即可。如果您仍然非常担心,请禁用 SSH 密码验证并仅使用 SSH 公钥验证。

相关内容