我昨天将我的服务器更新为新版本的 CentoOS,包括新版本的 DirectAdmin 面板。这个新安装附带了 Brute Force Monitor 服务。
据我所知,这个 BFM 可以保护暴力尝试。在这个新服务器的短短 24 小时内,我发现我的 5 个站点进行了 10,000 次暴力尝试。基本上,我看到来自泥土、浮渣的生物,试图使用我的邮件服务器(dovecot)发送电子邮件,并通过 ssh 进行攻击以获取访问权限。显然这些攻击都失败了。
我的问题是:
- 这些攻击真的失败了吗?
- BFM 服务提供什么样的保护?我问这个问题是因为我在 BFM 日志中看到一些条目报告了同一 IP 的 4265 次尝试?这是怎么允许的,BFM 在 3 或 5 次错误尝试后禁止该 IP 不是合理的吗?
- 我应该担心吗?
答案1
BFM 仅阻止尝试暴力破解 DirectAdmin 本身的地址;对于其他服务,它只会通知您。
如果您想要真正阻止尝试暴力破解其他服务的地址的东西,请尝试失败2禁止。
答案2
根据文档这个 BFM 根本不做任何事情。它只是查看一些日志文件并告诉您它的想法......
是的,我们生活在一个邪恶的世界。有许多僵尸网络试图进入他们发现的任何服务器。 - 这在开放互联网中是“正常”的。
但你不应该害怕这个。只有当您提供某种服务并且使用非常弱的密码或旧的易受攻击版本的软件时,它们才能成功。
您可以检查netstat -tupln可以从外部访问哪些服务。如果您不需要某个服务,请将其关闭或添加一些防火墙规则以限制可访问性。
如果您需要从任何地方都可以访问该服务,请确保只允许加密访问和良好的密码。时不时地查看一下日志文件可能也是个好主意。如果您对暴力尝试感到恼火,您还可以更改服务的端口。
对于某些特定的软件,例如邮件服务器。查看文档。通常,您可以设置一些选项来进一步限制访问。但这取决于您是否仅为自己或世界各地的许多人托管邮件。
答案3
我会尽量简短。
- 是的。如果监控代表失败的攻击这一定是真的。 (但真正的危险来自于看不见的东西!;-)
- BFM 代表暴力监控尝试检测重复失败的请求以阻止它们(例如,通过阻止 IP 一段时间)。这样做的好处主要是保持
mail.log可读性(阻止它们大量增长)。但是:请参阅后面的第 4 点。 - 不,但是是的......没有一个系统是真正安全的,所以你越了解它是如何工作的,你就越会变得更加安全强壮的...
- 让您的安装保持最新。最重要的安全故障从发布故障到发布软件包升级,在不到 24 小时内得到修补、测试、验证和扩散。