这是“端口扫描”吗？

Question

让脚本尝试使用常用帐户名列表通过 SSH 登录或尝试为“root”或“mail”（或类似名称）尝试多个密码是否仍被视为“端口扫描”？我希望找到一种方法来阻止这些，但我不知道要搜索什么。

当我想象这个词时，port scan我想到了使用 NMAP（或等效物）来查找 iptables 中打开的内容。只是好奇这是否属于同一类别。

我的一些系统每天记录数千。这很烦人。

系统都是CentOS/RHEL。

编辑：iptables 'limiting' 看起来很有希望。最后，我可能必须为所有有效流量设置一个 VPN，并在我的公共服务器上使用诸如“fail2ban”之类的东西。

Answer 1

您在此处需要的搜索词可能类似于“阻止失败的 ssh 登录尝试”或“阻止暴力 ssh”甚至“停止恶意 ssh 登录”。

一个非常流行的阻止这些的工具是fail2ban。它可以查看您的 SSH 登录尝试失败日志，并在一定时间内多次失败后阻止有问题的 IP。

增强 SSH 安全性的其他一些技巧：

1. 如果您还没有禁用直接 root 登录。如果您想考虑您的服务器完全安全，这是您真正应该做的基本要素之一。
2. 禁用密码身份验证并改用公钥身份验证。另一个必不可少的。如果密码使您无处可去，那么他们对有效密码进行多少猜测都没有关系。此外，如果您在客户端使用密钥管理器，则使用密钥对登录非常方便。
3. 使用非标准端口。您可以使用 2222 之类的东西，或者最好使用更不明显的东西。根据我的经验，这会导致登录失败的数量急剧下降。尽管正如其他人在评论中指出的那样，您应该记住，通过端口扫描仍然很容易发现打开的端口，合法用户登录可能会很不方便。
4. 使用 fail2ban 阻止失败的尝试。我建议您制定某种计划 B，以防您不小心阻止自己。如果您能够从不同的 IP 重试，您可以解锁自己。
5. 实现端口敲门。这可能是矫枉过正，但如果实施它可以将您的失败登录尝试减少到​​基本上为零。这对于想要登录的合法用户来说可能非常不方便。每次登录时，您都必须经历执行秘密敲门的歌曲和舞蹈。忘记使用智能手机登录。