※ 引述《[email protected] (好小孩)》之銘言:
> ※ 引述《drlai (蘇打)》之銘言:
> : 最近架了一個小型Server
> : 但我發現security run output中有紀錄一連串的try密碼紀錄
> : FreeBSD中能否設定
> : 讓某個IP輸入錯誤3次以上直接block該IP位置呢?
> : 或是各位有其他比較好的防範方式?
> : 每天login failure紀錄都是一大串
> : 但實際上在try login的只有少數幾個IP
> : 感謝m(_ _)m
> 用 ssh key 來認證
> 請參考 ssh manual
> 或是 sshd 換 port
以前的筆記
1) 廢除密碼登錄, 強迫使用 RSA 驗證(假設用 ssh 登入帳號為 kevinblue )
# vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
有這行如果沒key就會自動斷線
# /usr/local/etc/rc.d/sshd restart
接下來切換成你的帳號的家目錄下
# cd /home/kevinblue
$ mkdir .ssh
$ chmod 700 ~/.ssh
$ touch ~/.ssh/authorized_keys
$ chmod 644 ~/.ssh/authorized_keys
--------------------------------------------------
轉往 client 端(freebsd):
$ ssh-keygen -t rsa
(按三下 enter 完成﹔不需設密碼,除非您會用 ssh-agent 。)
$ scp ~/.ssh/id_rsa.pub [email protected]:id_rsa.pub
(若是 windows client, 可用 puttygen.exe 產生 public key,
然後複製到 server 端後修改之, 使其內容成為單一一行.)
--------------------------------------------------
如果你是 windiws 可以用 puttygen 產生 rsa_key再 export 成 openssh 格式便可
---------------------------------------------------
回到 server 端:
$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
$ rm ~/id_rsa.pub
--
◤◤◤◣
極端怕麻煩的傢伙為了輕鬆解決問題所想出來的創意與巧思 ˙█˙█
────────────────────────── ████
帶動了人類的發明和進步 ◥██◤
M█ ψKidult73
--
█◣██ ██ ██ ██ █ ██ ██ ██ * ● . ' ▃▃
██ █▅ ██ █ █ █▆ █▆ █▆ ' * . :: : :: : :
█◥ █ ██ ██ █ █▆ █▆ ▆█ ▆█ 城區夜未眠 : :: :: : ::
Origin:東吳資科城區夜未眠(nightless.twbbs.org)▊▋▎ [FROM:125.228.29.83]
※ 編輯: kevinblue 來自: 125.228.29.83 (09/20 21:19)