※ 引述《[email protected] (好小孩)》之銘言： > ※ 引述《drlai (蘇打)》之銘言： > : 最近架了一個小型Server > : 但我發現security run output中有紀錄一連串的try密碼紀錄 > : FreeBSD中能否設定 > : 讓某個IP輸入錯誤3次以上直接block該IP位置呢? > : 或是各位有其他比較好的防範方式? > : 每天login failure紀錄都是一大串 > : 但實際上在try login的只有少數幾個IP > : 感謝m(_ _)m > 用 ssh key 來認證 > 請參考 ssh manual > 或是 sshd 換 port 以前的筆記 1) 廢除密碼登錄, 強迫使用 RSA 驗證(假設用 ssh 登入帳號為 kevinblue ) # vi /etc/ssh/sshd_config RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 有這行如果沒key就會自動斷線 # /usr/local/etc/rc.d/sshd restart 接下來切換成你的帳號的家目錄下 # cd /home/kevinblue $ mkdir .ssh $ chmod 700 ~/.ssh $ touch ~/.ssh/authorized_keys $ chmod 644 ~/.ssh/authorized_keys -------------------------------------------------- 轉往 client 端(freebsd): $ ssh-keygen -t rsa (按三下 enter 完成﹔不需設密碼，除非您會用 ssh-agent 。) $ scp ~/.ssh/id_rsa.pub [email protected]:id_rsa.pub (若是 windows client, 可用 puttygen.exe 產生 public key, 然後複製到 server 端後修改之, 使其內容成為單一一行.) -------------------------------------------------- 如果你是 windiws 可以用 puttygen 產生 rsa_key再 export 成 openssh 格式便可 --------------------------------------------------- 回到 server 端: $ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys $ rm ~/id_rsa.pub -- ◤◤◤◣ 極端怕麻煩的傢伙為了輕鬆解決問題所想出來的創意與巧思 ˙█˙█ ────────────────────────── ████ 帶動了人類的發明和進步 ◥██◤ Ｍ█ ψKidult73 -- █◣██ ██ ██ ██ █ ██ ██ ██ * ● . ' ▃▃ ██ █▅ ██ █ █ █▆ █▆ █▆ ' * . :: : :: : : █◥ █ ██ ██ █ █▆ █▆ ▆█ ▆█ 城區夜未眠 : :: :: : :: Origin:東吳資科城區夜未眠(nightless.twbbs.org)▊▋▎ [FROM:125.228.29.83] ※ 編輯: kevinblue 來自: 125.228.29.83 (09/20 21:19)