服务器被爆破了
这是一台 NAS 服务器,因为运营商很好,所以单独给配了一个公网 IP ,然后下午闲来无事看了一眼日志: 一堆爆棚密码的请求,而且是尝试一次换一次 ip ,根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施,ban 掉非本国的 IP ,晚上看依旧不少垃圾请求,于是,把 ip 直接解析到 127 。0 。0 。1 ,路由器 wan 侧请求全部 drop ,手法过于暴力,不知道大家有没有温柔一点的办法
----------------------- 以下是精选回复-----------------------
答:关掉密码登录, 只允许密钥登录,任他爆破又能怎样
答:每小时几次,每次是不同 IP 。。。这不是爆破,这就是日常漏洞扫描,在融资报告里叫网络资产测绘
网络上的扫描机器远不止几十个,一直都会有的。改掉端口,只允许密钥登录,就问题不大
答:一直密钥登录,我感觉还方便,密钥放 Dropbox 网盘,
每次登录还不用输密码
答:暴露在公网的机器都是这样的,可以直接 fail2ban ,或者把机器放在 wireguard 后面
答:瞎担心,只要密码是随机长密码这又有什么关系呢?穷举到宇宙尽头都不可能被爆
答:在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ,也會有樓主這樣的情況。
答:两种方式。第一种设置一个域名,通过设置-登陆门户-高级-反向代理,域名通过才转发到控制台。第二种使用 vpn 才能访问控制台,自带有 vpn ,也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
答:这些扫描多是针对 IPV4 地址的。
服务端只监听 IPV6 ,基本没人扫的到 IP ,更不用谈登录了。
我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后,看不到除我自己外的登录尝试记录。
答:开 IPV6 DDNS 就行了,V4 能不用就不用,没准速度还能更快
答:我之前也是老被人爆破,开启 2 步骤校验,再也没有了
答:自己检查一下设置,我的群晖狠起来连我都 ban 掉
答:有公网 ip 的话建议放在网关后面,连接 VPN 后才能访问,建议 wireguard ,配置超级简单
答:应该只是被扫了。
参考群辉官方的:
[如何提高 Synology NAS 的安全性?]( https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)
公网访问,我的是改默认端口+HTTPS+超长的随机密码+仅开必要端口(非 dmz ),已经相当安全了
答:NAS 干什么用的 暴露在公网
答:看了眼我的 fail2ban ,已经封了 13,552 个 IP 了
这些都是全网扫 IP 端口爆破密码的,而且是毫无根据的瞎猜,我就当它们不存在罢
https://imgur.com/I2D5ygG
答:不要用默认端口,设置尝试几次就 ban 掉,我 qnap 的 nas 就这么整的,还有域名别用 qnap 提供的
答:最近我也被天天登录了,NGINX 里面过滤一下就好,我直接加了个 accept language 就清净了
答:1. 改 ssh 端口
2. 只接收 key 登陆
3. fail2ban 或者 sshguard
以上只要做到两点,基本就不会出问题。
我是全部都做,工作 9 年,从未出现过类似问题。
答:不开端口
用 cf Argo tunnel 配置 cf 侧的 access ,然后就几乎没有访问日志了
答:我压根就没给路由器防火墙放出 Nginx 和 p2p 软件之外的端口
答:drop 分 2 种,一种是直接丢弃,一种是我丢弃了,但我还要告诉你,我丢弃你的报文了。。
你要分清楚。
前者明显更适合。这就叫温和。
此外设时间,同一个 IP ,在 1 秒钟之内最后尝试连接一次,超过则需要等 5 分钟。
0条评论