服务器被爆破了

这是一台 NAS 服务器，因为运营商很好，所以单独给配了一个公网 IP ，然后下午闲来无事看了一眼日志： 一堆爆棚密码的请求，而且是尝试一次换一次 ip ，根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施，ban 掉非本国的 IP ，晚上看依旧不少垃圾请求，于是，把 ip 直接解析到 127 。0 。0 。1 ，路由器 wan 侧请求全部 drop ，手法过于暴力，不知道大家有没有温柔一点的办法

答:关掉密码登录， 只允许密钥登录，任他爆破又能怎样
答:每小时几次，每次是不同 IP 。。。这不是爆破，这就是日常漏洞扫描，在融资报告里叫网络资产测绘

网络上的扫描机器远不止几十个，一直都会有的。改掉端口，只允许密钥登录，就问题不大
答:一直密钥登录，我感觉还方便，密钥放 Dropbox 网盘，
每次登录还不用输密码
答:暴露在公网的机器都是这样的，可以直接 fail2ban ，或者把机器放在 wireguard 后面
答:瞎担心，只要密码是随机长密码这又有什么关系呢？穷举到宇宙尽头都不可能被爆
答:在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ，也會有樓主這樣的情況。
答:两种方式。第一种设置一个域名，通过设置-登陆门户-高级-反向代理，域名通过才转发到控制台。第二种使用 vpn 才能访问控制台，自带有 vpn ，也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
答:这些扫描多是针对 IPV4 地址的。

服务端只监听 IPV6 ，基本没人扫的到 IP ，更不用谈登录了。

我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后，看不到除我自己外的登录尝试记录。
答:开 IPV6 DDNS 就行了，V4 能不用就不用，没准速度还能更快
答:我之前也是老被人爆破，开启 2 步骤校验，再也没有了
答:自己检查一下设置，我的群晖狠起来连我都 ban 掉
答:有公网 ip 的话建议放在网关后面，连接 VPN 后才能访问，建议 wireguard ，配置超级简单
答:应该只是被扫了。

参考群辉官方的：
[如何提高 Synology NAS 的安全性？]( https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)

公网访问，我的是改默认端口+HTTPS+超长的随机密码+仅开必要端口（非 dmz ），已经相当安全了
答:NAS 干什么用的 暴露在公网
答:看了眼我的 fail2ban ，已经封了 13,552 个 IP 了
这些都是全网扫 IP 端口爆破密码的，而且是毫无根据的瞎猜，我就当它们不存在罢

https://imgur.com/I2D5ygG
答:不要用默认端口，设置尝试几次就 ban 掉，我 qnap 的 nas 就这么整的，还有域名别用 qnap 提供的
答:最近我也被天天登录了，NGINX 里面过滤一下就好，我直接加了个 accept language 就清净了
答:1. 改 ssh 端口
2. 只接收 key 登陆
3. fail2ban 或者 sshguard

以上只要做到两点，基本就不会出问题。

我是全部都做，工作 9 年，从未出现过类似问题。
答:不开端口
用 cf Argo tunnel 配置 cf 侧的 access ，然后就几乎没有访问日志了
答:我压根就没给路由器防火墙放出 Nginx 和 p2p 软件之外的端口
答:drop 分 2 种，一种是直接丢弃，一种是我丢弃了，但我还要告诉你，我丢弃你的报文了。。
你要分清楚。
前者明显更适合。这就叫温和。

此外设时间，同一个 IP ，在 1 秒钟之内最后尝试连接一次，超过则需要等 5 分钟。