我过去曾进行过端口转发,以便可以从网络外部访问特定应用程序,即安全摄像头。然而,向世界开放 SFTP 或 ssh 端口,以便任何人都可以尝试访问我的服务器,这就像不带手电筒穿过洞穴一样。在向世界开放我的电脑之前,我应该采取哪些预防措施来保护它?
编辑1:
如果我不向全世界公布我的 IP/端口组合,我可以接受什么样的流量?
答案1
我遇到了和你一样的问题。首先,这取决于你的服务器类型。如果你有硬件服务器,你可以安全地删除 sshd 服务或将其接受限制为内部流量,如 192.168.0.0/16。
但是如果你和我一样有一台云服务器。你需要考虑 ssh 猜测攻击。检查一下,cat /var/log/secure你会发现不速之客试图猜测密码,然后幸运地控制你的服务器。
如果您的应用程序是独一无二的,那么您只需将端口留在外面即可。这不会造成大问题,因为大多数黑客都不知道如何侵入该应用程序。您将遇到的最常见的攻击是这种 ssh 猜测攻击。
有三种方法可以避免,你可以根据自己的感觉选择:
1) 当您不通过 ssh 客户端维护服务器时,请更改云防火墙以仅接受您的应用端口而不是 ssh 端口。这是一项潜艇政策。
2)安装fail2ban,用于拒绝10分钟内输入错误代码超过5次的攻击者(这两个参数可以修改)
3)生成私钥-公钥对并下载私钥登录,然后永远禁止密码ssh。
您将轻松找到 2 和 3 的操作方法。一些通知:
2)yum install epel-release将拓宽CentOS的应用程序基础并帮助您安装fail2ban;在自定义配置jail.local中您需要修改以下内容:
bantime = -1s
[sshd]
enabled = yes
3)id_rsa 是私钥,在其名称中添加“.ppk”,以便Putty可以使用。