我正在设置 LAMP 服务器,需要阻止 SSH/FTP/等。成功的蛮力登录尝试。我已经看到了许多关于 denyhosts 和 fail2ban 的建议,但很少对两者进行比较。我还读到 IPTables 规则可以填充相同的功能。
为什么我会选择其中一种方法而不是另一种方法?serverfault 上的人如何处理这个问题?
您使用什么工具或技术来防止对您的 ssh 端口进行暴力攻击。我在安全日志中注意到,我有数百万次尝试通过 ssh 以各种用户身份登录。
这是在 FreeBSD 机器上,但我想它适用于任何地方。
在尝试登录 Windows 服务器失败 X 次后,是否可以禁止 IP 地址?不是针对特定帐户(我知道该怎么做),而是针对整个机器。
我们受到试图猜测用户名的蛮力攻击的重创,因此这确实有助于减轻服务器的负担。
UFW 的手册页提到它可以为我设置 iptables 速率限制:
ufw 支持连接速率限制,这对于防止暴力登录攻击很有用。如果 IP 地址在过去 30 秒内尝试启动 6 个或更多连接,则 ufw 将拒绝连接。有关 详细信息,请参阅 http://www.debian-administration.org/articles/187。典型用法是:
Run Code Online (Sandbox Code Playgroud)ufw limit ssh/tcp
不幸的是,这是我能找到的所有文档。我想坚持使用 UFW,而不是使用更复杂的 iptables 命令(以保持“简单”)。
我将如何使用 ufw 将端口 80 上的所有传入(因此不是传出)流量限制为每 30 秒 20 个连接?如何禁用端口 30000 到 30005 的速率限制?是否默认为所有端口启用速率限制?
我对网络管理很陌生,所以请注意我还没有那么有经验。
我有一个带有 plesk 面板的 Ubuntu 根服务器。
昨天我和我的朋友注意到我们 TS3 的语音质量非常糟糕。我向服务器发送了一些 ping,发现丢包率很高。在那之后,我用谷歌搜索了一下,发现有一个auth.log. 我下载了它并滚动了一下,然后我发现了这个:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 …我更熟悉阻止蛮力攻击的 Linux 工具,所以我很难找到适合 Windows 的工具。我正在运行带有终端服务器的 Windows Server 2008 R2,我想在反复尝试通过 RDP 登录后阻止 IP。任何提示?
我的客户端有一个服务器,它正在遭受来自僵尸网络的蛮力登录尝试。由于服务器和客户端的客户端变化无常,我们无法轻易阻止通过防火墙、端口更改或登录帐户名称更改的尝试。
已决定让它受到攻击,但要找到一种保护密码安全的方法。管理层和其他一些顾问已经确定,最好的办法是安装密码轮换软件,每十分钟轮换一次密码,并将新密码提供给需要登录的用户。
蛮力尝试每秒发生两次。
我需要证明使用 12-15 个字符的强密码是一种更简单且免费的解决方案。我知道如何用数学证明这一点,但我只想写一些类似“我们的密码有 x 种可能的排列,攻击者每天只能尝试 n 次,因此我们希望他们去 x/在他们猜出我们的密码之前平均 2n 天。” 有没有更标准的“证明”呢?
我有一个小的 SVN 服务器,运行 debian 的旧戴尔 optiplex。我对我的服务器没有那么高的要求,因为它只是一个小小的 SVN 服务器......但确实希望它是安全的。
我刚刚将我的服务器更新到更新更好的 optiplex,并开始查看旧服务器。我在遇到问题后将其取下。当我检查日志时,它充满了蛮力尝试,不知何故有人成功进入了我的机器。此人创建了一些名为“knarkgosse”的额外卷,其中包含两个目录“root”和“swap1”之类的。不知道为什么和他们做什么,但肯定希望防止这种情况再次发生。我觉得这有点奇怪,因为我每隔几个月左右就会更改我的密码,而且密码总是随机的字母和数字组合在一起......不容易暴力破解。
我知道我可以阻止 root 登录,并使用 sudoers ......并更改 SSH 端口,但我还能做什么?
所以我有几个问题:
如何在 X 次错误尝试后阻止登录 5 分钟。还是在每次错误尝试后缓慢尝试?
服务器是否可以连接到某种中央黑名单?跟踪“不安全”且永远不应被授予访问权限的 IP 地址的黑名单?
我还能做些什么来将安全应用于我的服务器?
就像我之前说的,我正在运行带有 Apache(www-data 用户问题?)、svn、mysql、php、phpmyadmin、hudson 的 Debian 5。它位于家庭网络上,端口转发为 80、443、8080、8180、23 和 22。
我最近收到了将密码设置为 20 个字符以上的建议。用于加密的算法是具有 256 位主密钥的 AES。比如说,8 个字符的密码对于破解加密文件的蛮力攻击有多安全?
我知道这在大多数网站上被认为是一个很好的密码大小。原因之一是他们可以在 3 次左右的尝试后停止攻击。
我有一个 Windows Server 2008 R2 系统,它每天在 Windows 日志的安全部分显示数千个登录类型 8 (NetworkCleartext) 的 4625 登录失败错误。源网络地址中没有列出试图获得访问权限的系统的 IP 地址,因此我构建的用于阻止经常失败的 IP 的脚本无法找到它们。
这些登录尝试可能来自哪些服务?
以下是其中之一的示例:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: server-name$
Account Domain: example
Logon ID: 0x3e7
Logon Type: 8
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x4d0
Caller Process Name: C:\Windows\System32\svchost.exe …windows-server-2008 log-files brute-force-attacks windows-event-log windows-server-2008-r2