先看root密码攻击
Jul 16 10:29:24  sshd[23332]: Failed password for root from 220.192.74.106 port 1660 ssh2
Jul 16 10:29:28  sshd[23336]: Failed password for root from 220.192.74.106 port 1661 ssh2
Jul 16 10:29:32  sshd[23338]: Failed password for root from 220.192.74.106 port 1662 ssh2
Jul 16 10:29:34 sshd[23339]: Failed password for root from 220.192.74.106 port 1663 ssh2
Jul 16 10:29:35  sshd[23342]: Failed password for root from 220.192.74.106 port 1664 ssh2
Jul 16 10:29:36  sshd[23344]: Failed password for root from 220.192.74.106 port 1665 ssh2
Jul 16 10:29:41  sshd[23364]: Failed password for root from 220.192.74.106 port 1666 ssh2
Jul 16 10:29:43  sshd[23366]: Failed password for root from 220.192.74.106 port 1667 ssh2
Jul 16 10:29:47  sshd[23368]: Failed password for root from 220.192.74.106 port 1668 ssh2
Jul 16 10:29:47  sshd[23370]: Failed password for root from 220.192.74.106 port 1669 ssh2
Jul 16 10:29:48  sshd[23372]: Failed password for root from 220.192.74.106 port 1670 ssh2
Jul 16 10:29:54  sshd[23383]: Failed password for root from 220.192.74.106 port 1671 ssh2

这类攻击我想有不少人都碰到过把，面对这样的攻击，通常的办法就是改SSH端口，但这起不了太多作用，攻击者在攻击前当然会先扫描端口。当然还可以有其他的办法见http://www.chinaunix.net/jh/29/579591.html ，我看了这篇文章的这些个方法，觉得还是不安全，因为：理论上任何长度的密码都是可以被猜出来的 :w[/url] 。所以，好的密码就算能抵挡这次进攻，并不代表能抵挡住下次进攻。写脚本？实现太复杂。

最近研究了一简单的办法能抵挡root密码攻击，这个方法简单到白痴都能搞懂 ，至于效果，几乎可以肯定年能100%抵御root密码进攻。呵呵，先卖个关子，看大家对这个问题感兴趣不？如果感兴趣的话，我自然会公布这个研究成果？　　　　　　

一般是不允许root远程登录,  普通用户的来源IP也可以在sshd中限制.　　　　　　

[QUOTE=Roc.Ken;575136]一般是不允许root远程登录,  普通用户的来源IP也可以在sshd中限制.[/QUOTE]正解！;)　　　　　　

[QUOTE=Roc.Ken;575136]一般是不允许root远程登录,  普通用户的来源IP也可以在sshd中限制.[/QUOTE]

首先,从系统管理的角度来说,没有"一般不允许",只有允许和不允许,实际上,我们都是用root直接 ssh登录到服务器完成管理工作的. 其次,"普通用户的来源IP也可以在sshd中限制"无法实现,因为通常管理工作站都使用动态IP,怎能限制IP,再考虑紧急情况,需要在任何能上网的地方拿出自己的笔记本接上网络来连服务器解决问题,这时候的IP也是动态的,所以实际上根本没人在SSH中限制IP　　　　　　

一般不允许 的例外情况是远程的多台主机有内网互联时为方便维护时允许root从内网直接登录, 相应的sshd_config中的配置为:
AllowUsers root@192.168
允许root直接登录是不明智的做法.

另外,并不是所有的人都用ADSL的DHCP, 当公司有固定的出口IP时,可以考虑使用,
国内的网通/电信的接入服务中动态分配的IP段也可以查到, 允许这些网段访问要比允许所有IP访问安全系数高的多!　　　　　　

　　问个问题：如果我告诉密码攻击者我的root密码是８位长度，包括大写字母、小写字母、数字和特殊字符。我允许攻击者来猜我的密码无限次数，那么按照上边第一帖的密码猜测攻击方法和速度来猜测我的密码，理论上最长需要多少时间？（即猜测所有的密码组合所需要的时间）
　　哪位高手能解答一下？　　　　　　

[QUOTE]如果我告诉密码攻击者我的root密码是８位数[/QUOTE]
那说明你的机器是个考试机器，就象黑客基地那样的。想一想，美国有没有公开告诉全世界自己的数据库密码是几位的？　　　　　　

[QUOTE=zhuomingliang;575355]那说明你的机器是个考试机器，就象黑客基地那样的。想一想，美国有没有公开告诉全世界自己的数据库密码是几位的？[/QUOTE]


没错，我的密码就算告诉你是8位，那你能算出来么？显然理论上绝对可以猜出来，但问题是猜出来要多少时间的问题，按第1贴的密码猜测速度算。据说这里高手如云啊，怎么连怎么简单而重要的问题都没人正面回答，就想这样忽悠我？　　　　　　

楼上,如果你喜欢别人猜的你的密码为什么不设置的更短些?
你想说的大概是用密钥认证吧? 或者你已经hack了openssh/openssl的代码做了惊天地泣鬼神的改动?　　　　　　

你应该清楚:
做为internet的基础应用, ssh已经是非常成熟协议, 相关的软件版本也已经到4.7.*, 1.9.*
如果现在还被这些常规攻击困扰, 只能说明管理员无能