CubieBoard中文论坛

 找回密码
 立即注册
搜索
热搜: unable
12
返回列表 发新帖
楼主: jerryli

CB3做web服务器几天内就被root暴力破解攻击数万次

[复制链接]
发表于 2014-11-20 16:01:27 | 显示全部楼层
用SSH证书登录吧。。。安全很多

一、在客户机执行:
$ ssh-keygen -t rsa
把生成的公钥上传到CB ssh 服务器:
$ scp ~/.ssh/id_rsa.pub  cubie-user@cubie-ssh-server:~/

二、在CB ssh服务器上
1、导入客户端公钥
# cd /home/cubie-user
# cat id_rsa.pub >> .ssh/authorized_keys

2. 修改sshd服务器配置
# vim /etc/ssh/sshd_config
把相关设置如下:
PermitRootLogin no
StrictModes no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys
PasswordAuthentication no

3. 重启sshd
/etc/init.d/ssh restart


回复 支持 反对

使用道具 举报

发表于 2014-11-20 18:42:21 | 显示全部楼层
开启pam 稍微配置下就可以了。想暴力破解,很难。。
回复 支持 反对

使用道具 举报

发表于 2014-11-20 21:02:23 | 显示全部楼层
我的iptable是这样设置的  不知道能过滤掉攻击不能

# Generated by iptables-save v1.4.14 on Thu Nov 20 20:50:45 2014
*filter
:INPUT DROP [10:595]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [741:166617]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT
-A INPUT -s 219.148.108.132/32 -i eth0 -j DROP
-A INPUT -s 61.157.96.111/32 -i eth0 -j DROP
-A INPUT -s 124.122.84.46/32 -i eth0 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50000:60000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 31337 -j DROP
-A OUTPUT -p tcp -m tcp --dport 31337 -j DROP
COMMIT
# Completed on Thu Nov 20 20:50:45 2014
回复 支持 反对

使用道具 举报

发表于 2014-12-3 11:28:00 | 显示全部楼层
linux安装完成后如果开启了外网sshd,一定要改端口,禁用root登陆,安装fail2ban,是常识吧
回复 支持 反对

使用道具 举报

 楼主| 发表于 2014-12-3 16:33:47 | 显示全部楼层
shom 发表于 2014-12-3 11:28
linux安装完成后如果开启了外网sshd,一定要改端口,禁用root登陆,安装fail2ban,是常识吧 ...

回复 支持 反对

使用道具 举报

发表于 2015-3-28 12:54:30 | 显示全部楼层
以前我也遇到这种问题,我是先在iptables做了一些策略,以后又写了个脚本,最后还是安装了hostdeny这个软件,好使多了,把暴力IP都拉进黑名单。SSH改端口,ROOT禁止。
回复 支持 反对

使用道具 举报

发表于 2015-3-28 22:32:29 | 显示全部楼层
本帖最后由 chengwangrbt 于 2015-3-28 22:38 编辑

还有一个方法,就是用花生棒+内网服务(我绝对不是托啊)。
然后将域名开启花生壳DDNS解析,用花生棒做内网端口映射。在不开启外网80端口的情况下,访问服务器某端口(比如80)就会变成 www.xxx.com:12345
我试着ping了一下我的域名(内网映射到了svn服务器的3690端口),看到的是:
Ping phtunstick-pro0.oray.net 121.41.xx.xxx
来自 121.41.xx.xxxx的回复。
但是我的无线路由器的公网IP地址是111开头的。

我现在纠结的就是我的SVN服务器用的是最简单的设置=3=没有用SASL加密密码,也没有用SVN+SSH或是HTTPS、。。。好像安全性比较低。。。至少服务器不会变成肉鸡(我是这么感觉的)。
回复 支持 反对

使用道具 举报

发表于 2015-4-2 22:00:33 | 显示全部楼层
话说,突然想到一个问题,CT不是应该躲藏在路由器后便嘛。。。除了80端口映射了能从外网访问,其他端口根本不映射,不就不用担心了嘛?
回复 支持 反对

使用道具 举报

发表于 2015-4-3 11:12:50 | 显示全部楼层
我认为是端口问题,别用默认端口,就没事,有很多无聊的人就是扫默认端口的。
一是端口映射最好别用DMZ全部映射好,单独映射服务就好
二是默认端口都改一改

回复 支持 反对

使用道具 举报

发表于 2017-3-13 19:22:23 | 显示全部楼层
soloforce 发表于 2014-11-20 16:01
用SSH证书登录吧。。。安全很多

一、在客户机执行:

还是这个方法简单有效,除非熟人,其他恶意的直接连不上...多实在..
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|粤ICP备13051116号|cubie.cc---深刻的嵌入式技术讨论社区

GMT+8, 2024-11-22 23:32 , Processed in 0.022466 second(s), 12 queries .

Powered by Discuz! X3.4

© 2001-2012 Comsenz Inc. | Style by Coxxs

返回顶部