全球主机交流论坛

标题: 机器使用证书登录就万无一失了? 别人知道root密码也无妨？ [打印本页]

作者: suzizi 时间: 2017-8-3 11:49
提示: 作者被禁止或删除内容自动屏蔽

作者: Emkqson 时间: 2017-8-3 11:50
提示: 作者被禁止或删除内容自动屏蔽

作者: suzizi 时间: 2017-8-3 11:53
提示: 作者被禁止或删除内容自动屏蔽

作者: 流河旱树 时间: 2017-8-3 11:55

Emkqson 发表于 2017-8-3 11:50
一般是密码证书双认证，缺一不可。一台机子两个人守护，一个只知道密码一个只知道证书。 ...

有点像发核弹？那么安全啊

作者: lanleoean 时间: 2017-8-3 11:56

Emkqson 发表于 2017-8-3 11:50
一般是密码证书双认证，缺一不可。一台机子两个人守护，一个只知道密码一个只知道证书。 ...

然后需双方同时点击连接才可进入，否则boom

作者: 羞涩 时间: 2017-8-3 11:58

Emkqson 发表于 2017-8-3 11:50
一般是密码证书双认证，缺一不可。一台机子两个人守护，一个只知道密码一个只知道证书。 ...

这是什么高大上项目。搞这么机密。

作者: 靓坤 时间: 2017-8-3 11:59
证书的确方便，而且用了之后发现last没那么多异地ip了

作者: yugan300 时间: 2017-8-3 12:03
提示: 作者被禁止或删除内容自动屏蔽

作者: plesk002 时间: 2017-8-3 12:07
你家的IP會不會老是轉其他IP ? 如果是固定IP....設定只允許你家的IP才能連吧....

或者再簡單點.....如果你的主機有KVM....直接耙SSH 關掉...

作者: dabiantai 时间: 2017-8-3 13:45
安利一下duo，可以推送登录请求到你手机，按一下勾就可以登录。被害妄想症可以用证书+duo两步验证

作者: zhoutiancai 时间: 2017-8-3 13:52
直接关了SSH

作者: dvbhack 时间: 2017-8-3 16:00
用了证书，关掉密码登录啊…

作者: yandere 时间: 2017-8-3 16:02
要分情況了
比如妳的服務器只開啟了SSH，然後妳設置只允許證書登陸，那別人有root密碼也沒用
如果你的服務器又開了FTP，又正好是系統認證，別人就可以登錄root改妳的文件了。。
如果別人能物理接觸到你的服務器。。。。。保重

作者: 62900015 时间: 2017-8-3 16:07
随便你多少位加密证书，console方式只需要密码。

作者: suzizi 时间: 2017-8-3 16:21
提示: 作者被禁止或删除内容自动屏蔽

作者: suzizi 时间: 2017-8-3 16:22
提示: 作者被禁止或删除内容自动屏蔽

作者: yandere 时间: 2017-8-3 16:32

suzizi 发表于 2017-8-3 16:21
嗯
那也只能改改文件吧没法执行命令。

把你的sshd_config改了，之後等你下次重啓就登陸進去了。。。

作者: suantong 时间: 2017-8-3 16:37
我一直以为我很小白，找到同类了

作者: suzizi 时间: 2017-8-3 16:51
提示: 作者被禁止或删除内容自动屏蔽

作者: suzizi 时间: 2017-8-3 16:52
提示: 作者被禁止或删除内容自动屏蔽

作者: yandere 时间: 2017-8-3 16:53

suzizi 发表于 2017-8-3 16:52
擦你怎么这么有经验啊。

快说做了多少坏事。

N年滲透測試經驗。。。。。。

作者: asdqwe876 时间: 2017-8-3 21:47
1：ssh登陆只允许证书
2：其他登陆类shell（ftp等）取消登录shell的权利（一般建议给裸账号）
3：ssh尝试次数限制（比如封禁n小时）
4：尝试ssh的ip进行归属地查询（建议服务器内置查询库+第三方库（2~3个））
5：每次触发ssh类服务就行邮件提醒（登陆者经纬度啥的）

一般就这些

作者: suzizi 时间: 2017-8-3 21:51
提示: 作者被禁止或删除内容自动屏蔽

作者: hostus 时间: 2017-8-12 11:43
给机器上谷歌的二次验证

作者: 陈规 时间: 2017-8-12 11:58
启用证书，关闭密码。而且证书巨方便啊，所有小鸡一个证书，爽的很。

欢迎光临全球主机交流论坛 (https://443502.xyz/)