我经常在家里或工作时通过 SSH 访问服务器 - 但是当我在其他地方时,我会收到此错误:
ssh_exchange_identification:读取:对等方重置连接
读了一点资料后,我得出的结论是,服务器阻止的 IP 地址不是我通常使用 SSH 的 IP 地址。解决此问题的简单方法是允许从 /etc/ssh/sshd_config 文件中的任意 IP 地址使用 SSH。
这看起来有点不安全。
有没有办法允许从任何 IP 地址进行 SSH对于特定用户?
答案1
允许从任何 IP 连接到 ssh 和允许从任何 IP 连接到给定用户的 ssh 之间几乎没有区别,因为用户身份验证必须在连接后进行 - 即在已经允许发起者连接之后。您当然应该限制通常不需要直接 ssh 访问的服务器,无论源 IP 是什么。
如果您不希望 ssh 端口向所有人开放,您可以尝试以下一些选项:
- 您可以设置 VPN 服务器,然后使用 VPN 客户端。
- 您可以设置“端口敲击”,其中一系列特定的连接尝试为了正确的端口将导致 ssh 端口开始监听您足够长的时间以进行连接。
- 您可以将通常连接的 ISP 的网络块添加到允许的地址列表中,以大大减少潜在攻击者的数量,但仍保留“几乎可以在任何地方连接”解决方案的便利性。
- 您可以让您的 ssh 监听非标准端口,这虽然无法防御有针对性的攻击,但却可以很好地阻止通常的脚本小子运行自动探测。
其他选项包括:
- 使用类似 fail2ban 的工具在攻击者尝试输入一定次数的错误密码后阻止其攻击。
- 切换到 ssh 密钥并将 sshd 设置为不接受密码作为有效的身份验证方法。
- 使用您知道维护良好且安全的受信任的“中间”服务器,然后让您的服务器仅接受来自那里的 ssh 连接。
便利性和安全性之间总是存在权衡,尝试找到适合您的点。