Linux 管理过程中，关闭 22 端口，只使用 vnc 管理是否更安全？

升级 ssh 解决

标准的 vnc 协议是无加密明文传输的

再说了，更新下 sshd 要花钱吗？

3306 更不安全吧？

公网数据库，完美的靶子

看完就感觉挺无语的
为嘛你觉得 80,443 端口安全呢？ apache/nginx/php 暴的漏洞还少吗？ 3306 就更不用说了

请使用 零信任.

后知后觉了，吓的我赶紧去看了下我暴露在公网的树莓派，还好树莓派 OpenSSH_8.4p1 不在漏洞版本范围内

@busier
@erquren
主要是几十台服务器，我寻思着关了端口不是更快一点嘛

@erquren
@duanxianze
局域网组网做读写分离必须要开咋办啊？
只有一个本地 root 用户和特定 ip 的用户

@churchmice 80 和 443 必须要开，有漏洞也没法子了。。。

改成非 22 端口，应该 99.999%避免所有

@erquren ubuntu 22.04 怎么升级？
阿里云的切到 ubuntu 官方镜像，还是

sudo apt full-upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
gsasl-common libgsasl7
Learn more about Ubuntu Pro at https://ubuntu.com/pro
#
# OpenSSH CVE-2024-6387 has been fixed for 22.04 LTS, 23.10 and 24.04 LTS.
# RegreSSHion: Possible RCE Due To A Race Condition In Signal Handling.
# For more details see: https://ubuntu.com/security/notices/USN-6859-1.
#
The following packages have been kept back:
python3-update-manager ubuntu-advantage-tools update-manager-core
0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.
apt apt policy openssh-server
openssh-server:
Installed: 1:8.9p1-3ubuntu0.10
Candidate: 1:8.9p1-3ubuntu0.10
Version table:
*** 1:8.9p1-3ubuntu0.10 500
500 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
1:8.9p1-3 500
500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages

OP 看完楼里回复，一总结发现：就啥也不让开呗

几十台服务器，留一台作为堡垒机不行吗，所有服务器都配置 22 端口白名单给指定服务器

VNC 也不安全啊

@churchmice 看完你这言论也挺无语的，意思是什么端口不暴露就安全是吗，因噎废食吗？

端口全关了，用 tailscale 连

任何接入方案都可能有漏洞。企业级的安全做法是，多层接入方案，来提高整体安全性。比如 Linux 的 VPN + OpenBSD 的 SSH + Windows 的 RDP ，3 套连接方案一起用，再加上 fail2ban + 地域 IP 白名单 + IPS ，3 层安全，不仅黑客进不去，自己也进不去。你就说安不安全。

为啥喜欢默认端口？我改至少 4 位数的端口，服务过那么多小企业，服务器从上线就没安全更新过，也没见过有事的，每天一堆的扫描，看到很多有事的都是用的 web 开源程序的漏洞导致。

@laminux29 #18 安全，安全了！ 哈哈哈哈哈哈哈，自己都进不去，笑死了

1 、成功利用该漏洞的攻击者可以以 root 身份进行未经身份验证的远程代码执行 (RCE)。在某些特定版本的 32 位操作系统上，攻击者最短需 6-8 小时即可获得最高权限的 root shell 。而在 64 位机器上，目前没有在可接受时间内的利用方案，但未来的改进可能使其成为现实。

大多数安全的问题，都是有很必要条件的，不用折腾这些了。

你 3306 也放出去啊。

@xdzhang 局域网组网做读写分离必须要开咋办啊？

@Features #23 可以配置指定网段才能连过去的，把数据库的集群放一个小网段下就行。

@huangcjmail 感谢感谢，我知道怎么配置了

@retanoj #13 内网访问请走 VPN 、专线，外网访问请加 waf 等安全设备。

所有人都看漏了。。服务商的 vnc 。是阿里云吗？直接付费买他的堡垒机。所有机器不开外网。暴露外网都走 slb 。就只有你接口漏洞了。

嫌贵就 jumpserver 走着。jumpserver 的机器和公司 vpn 打通。ipsec 的安全性还是有保障的

我觉得很神奇。。。。我已经看到无数的公司的阿里云的机器直接申请 eip 暴露出公网。。真不嫌命大和麻烦

挂个 wireguard 除了 80 443 端口都不对外开放

@gesse 人家一扫就扫出来了

只要是人写的软件，都可能出现漏洞，除非你不所有端口都关了

开了 3306 ？你为什么不做个 vpn 呢？挺无语的

就算你只开通 80 端口，端口的大问题算是合格了，但是你怎么保证你的 web 没有漏洞？

没必要太担心，安全是相对的，做好基本的防护，足以。比如这个 ssh 你平时有加 fail2ban 或者登入几次失败后锁定账户，都能缓解，还有之前那个 CVE-2024-1086 普通用户提权，那也需要普通用户进去了不是


成功利用漏洞是需要一定条件的，而且还要看你是否有价值。

只允许 vpn 访问 ssh 端口不就行了

就算有那个漏洞你觉得实现起来容易吗？

升级 SSH ×
杀掉 SSH √
不是很能理解一些人的脑回路……系统安全本来就依赖软件经常更新，经常打上安全补丁。
SSH 关了有什么用，下次照样从你没打补丁的 Web server 进来。

因噎废食？

3306 为什么要开到公网？既然是局域网复制读写分离，MySQL 绑定的网卡到局域网的 IP 就行了

1. 升级 ssh
2. 更改默认端口
3. 禁止用户名密码登录，改用密钥登录

那个洞利用难度很高吧。另外相信我，只要没有弱口令，ssh 绝对是楼主提到的服务端口里面最安全的