最近在研究服务器入侵方面的资料,然后根据进度,写写自己的想法:
看过xxx黑客的入侵教程(暂称之为黑客),过程基本还是那些:
1、拿扫描工具扫描某个网段开启ssh服务的服务器
2、其次开始密码字典穷举,匹配成功后登陆系统
3、开后门,清理登陆日志。
了解了入侵思路,那么现在考虑一下怎么防止黑客攻击,前面看到了,第一步是扫描哪些IP开启了ssh端口(22),随便拿个工具都行,到此,我们会想到什么?ssh服务的默认端口是22号,那么,我们将此端口改掉,换成一个不常用的,那么在黑客初步的IP段扫描的时候,我们就可以躲过这一次浩劫。
比如端口改为:49825 (计算机端口范围:1-65535,1-1024是系统为各种服务预留的,所以不要用)
编辑:/etc/ssh/sshd_config
修改:#Port 22 ,改为: Port 49825
重启ssh服务,OK,那么下次登录的时候需要指定端口,推荐用putty客户端,个人觉得很不错的远程登录工具。
下面说一下密码,服务器管理员,密码设置的一定要满足密码复杂性要求,大小写、数字、特殊符号,密码长度最好在18位以上,我服务器设置的是三十位以上。密码设置的乱乱的,这样,基本可以断绝暴力破解的可能性了。千万别设置为简单密码,比如123,admin888等等,如果这样,那么你不是一位合格的运维师。
再说一下软件漏洞,每个软件都不是很完美的,或多或少有漏洞,被发现只是时间问题,那么出于这种情况,我们是没的办法的,可以参考软件的官方网站,了解最新漏洞信息,然后进行升级补救。
PS:
我们可以通过第三方软件来监控服务器日志,如果某个IP,再短时间内不停的暴力登陆服务器的时候,那么程序自动判断并将其IP加入到黑名单,比如DenyHosts之类这样的工具,服务器会更安全一些。
养成良好的习惯,每天检查日志。
denyhosts链接: http://denyhosts.sourceforge.net/