弱口令漏洞描述

弱口令的漏洞的存在很大原因上是因?yàn)?strong>使用者的不良使用習(xí)慣導(dǎo)致的，當(dāng)然也有一些是因?yàn)?strong>系統(tǒng)或者應(yīng)用啟用時(shí)未設(shè)置可用賬戶的密碼信息而使用默認(rèn)的配置；這就給攻擊者毫不費(fèi)力攻進(jìn)信息系統(tǒng)的機(jī)會(huì)了。

一旦信息系統(tǒng)存在弱口令漏洞，并且該系統(tǒng)可以從公網(wǎng)上訪問(不論是直接訪問，還是在內(nèi)網(wǎng)中需要跳板機(jī)的連接)，那么攻擊者就可以使用自己收集整理來的密碼字典，暴力猜解可用賬戶的密碼信息，進(jìn)而該信息系統(tǒng)被攻擊者控制、使用，造成敏感信息的泄露、計(jì)算機(jī)資產(chǎn)被盜用等等嚴(yán)重危害。

因此，最簡(jiǎn)單的且最有效的防御措施：定、短期更換信息系統(tǒng)的賬號(hào)密碼信息，并且保證賬號(hào)為不常用的賬號(hào)(例如admin、manager、admin1、Admin、administrator、root)、密碼長(zhǎng)度至少為8位、種類至少三種字符(例如：!234Qwer)。

為了萬無一失(盡可能做到)，防止攻擊者使用密碼字典暴力猜解登錄信息，還可以使用白名單的方式限制可以遠(yuǎn)程登錄信息系統(tǒng)的主機(jī)、設(shè)置可用賬戶的的錯(cuò)誤登錄次數(shù)、態(tài)勢(shì)感知攻擊者的攻擊行為封堵ip等等方式。下面就從設(shè)置遠(yuǎn)程管理登錄的配置信息的角度(以21、22、23、3306、3389為例)分享下怎么減少弱口令漏洞對(duì)信息系統(tǒng)的影響。

遠(yuǎn)程管理登錄的配置方法

01

21 ftp服務(wù)的遠(yuǎn)程登錄配置

以windows系統(tǒng)為例：

在windows中打開internet information services(iis)管理界面，可以看到ftp的配置選項(xiàng)。

iis中ftp的配置界面

在左上角的第一個(gè)功能選項(xiàng)ftp ip地址和域限制可以設(shè)置遠(yuǎn)程登錄此ftp服務(wù)器的白名單，如此一來可以杜絕不被允許的主機(jī)連接此ftp服務(wù)器了，從而杜絕攻擊者從外部的暴力猜解攻擊。

ftp ip地址和域限制

如果攻擊者進(jìn)到內(nèi)網(wǎng)，控制了一臺(tái)可以連接此ftp服務(wù)器的主機(jī)，那么可以配置ftp登錄嘗試限制；此功能可以限制客戶端登錄錯(cuò)誤的次數(shù)，也可以防御攻擊者的暴力猜解攻擊，這些登錄行為都會(huì)被系統(tǒng)記錄到日志中，可以為管理員提供有跡可循。

ftp登錄嘗試限制

如果需要在ftp服務(wù)器前面放一臺(tái)防火墻設(shè)備，來隱藏真實(shí)的ftp服務(wù)器的端口，那么在ftp防火墻支持的配置中可以為ftp服務(wù)器搭建一個(gè)端口數(shù)據(jù)通道(也就是端口鏡像)。(只要防火墻的策略配置好，肯定是可以防攻擊者的暴力猜解弱口令的)

ftp防火墻支持

02

ssh服務(wù)的遠(yuǎn)程登錄配置

ssh服務(wù)器端的配置信息在/etc/ssh/下的sshd_config文件(ssh_config為客戶端配置文件，一般用不到)

/etc/ssh

修改ssh的默認(rèn)端口，可有效防范常規(guī)、機(jī)器的攻擊；端口值的范圍在0-65535。

修改端口

修改ssh的一些連接設(shè)置，比如最多連接主機(jī)的數(shù)據(jù)、最長(zhǎng)嘗試登錄時(shí)間、最大的嘗試登錄次數(shù)(錯(cuò)誤登錄次數(shù))

修改嘗試登錄的配置項(xiàng)

設(shè)置登錄時(shí)是否使用密碼、是否允許空密碼的用戶登錄，可以解決未授權(quán)用戶登錄的問題

解決未授權(quán)登錄的問題

03

23 telnet的遠(yuǎn)程登錄配置

telnet服務(wù)一般應(yīng)用在路由器(3層)、交換機(jī)(2層)等網(wǎng)絡(luò)設(shè)備中，如果存在弱口令漏洞則給攻擊者較容易的方式破壞信息系統(tǒng)的網(wǎng)絡(luò)建設(shè)，造成內(nèi)部網(wǎng)絡(luò)的崩潰。針對(duì)此漏洞可能對(duì)信息系統(tǒng)的危害可以從設(shè)置簡(jiǎn)單的acl(白名單)、更換密碼的復(fù)雜度和長(zhǎng)度來防御攻擊者的攻擊。

在進(jìn)到路由器的配置中，首先要切換到system權(quán)限下，新建一個(gè)acl，并指定該acl僅限制哪些主機(jī)可以連接路由器。

telnet訪問控制配置-設(shè)置acl

設(shè)置telnet的用戶的密碼

04

3306 mysql數(shù)據(jù)庫遠(yuǎn)程登錄管理

以windows下的mysql v8.0.12為例：

在mysql安裝路徑下找到my.ini文件，該文件記錄了mysql數(shù)據(jù)庫的配置信息。

比如修改數(shù)據(jù)庫的默認(rèn)端口，使其不運(yùn)行在默認(rèn)的3306端口上。

port=3306

修改mysql數(shù)據(jù)庫的一些用戶的密碼的配置，則可以在數(shù)據(jù)庫中直接更新user表中的用戶的密碼的配置的字段值。比如，用戶的密碼值(authentication string)、密碼過期時(shí)間(password_lifetime,password_expired)、最大的連接數(shù)(max_connections,max_user_connections)、禁用賬號(hào)(account_locked)。(或者是使用其他方式也是可以的)

修改表中字段值的方法是：

update user set authentication_string=password(‘123456’) where user=’root’;(更新表設(shè)置字段值當(dāng)user為root)

對(duì)數(shù)據(jù)庫的用戶的權(quán)限做劃分，也可以有效的降低弱口令漏洞對(duì)數(shù)據(jù)庫的影響。

GRANT ALL PRIVILEGES ON *.* TO ‘root’@‘%’ IDENTIFIED BY ‘password’ WITH GRANT OPTION;(*.*表示所有表的所有權(quán)限，%表示所有的主機(jī)都可以使用root連接)

設(shè)置數(shù)據(jù)庫的其他參數(shù)，比如在配置中修改密碼的一些參數(shù)。

05

389 RDP服務(wù)的遠(yuǎn)程登錄配置

以windows 7為例：

針對(duì)3389 windows平臺(tái)的RDP服務(wù)，弱口令漏洞存在一般跟windows中的系統(tǒng)用戶有關(guān)，那么可以修改系統(tǒng)中的用戶的配置來避免此漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響。

使用gpedit.msc本地組策略編輯器來管理用戶的一些策略設(shè)置，在運(yùn)行中打開此程序。

?gpedit.msc

本地組策略編輯器運(yùn)行界面

在密碼策略中修改策略可以強(qiáng)制用戶定期的管理自己密碼，并且符合日常使用的規(guī)范、防范攻擊者的暴力猜解。

?

賬戶鎖定策略

通過以上的配置密碼策略和無效登錄的次數(shù)，那么在終端防護(hù)弱口令的攻擊，基本上可以做到七八成的防護(hù)了。如果根據(jù)實(shí)際需求還需保障合法主機(jī)的任意登錄，那么可以在鏈路上的硬件防火墻或者軟件版的防火墻中添加連接的白名單。

贈(zèng)送：windows下修改用戶密碼的操作，在cmd中使用net user username password修改用戶的密碼

修改用戶密碼

總結(jié)

1

定期、短期的修改密碼為復(fù)雜且較長(zhǎng)的字符是最高效的防范弱口令漏洞的方式

2

配置好信息系統(tǒng)中的使用賬戶的策略(如強(qiáng)制用戶定期更換密碼具有一定的復(fù)雜性和長(zhǎng)度、對(duì)信息系統(tǒng)中的賬戶做最小權(quán)限的劃分、限制連接的主機(jī)數(shù)量、綁定可連接主機(jī)的ip/mac地址(白名單策略)、限制錯(cuò)誤登錄次數(shù))，將會(huì)降低攻擊者暴力猜解的成功率和弱口令漏洞對(duì)信息系統(tǒng)的影響

3

配置好鏈路上的硬件防火墻、態(tài)勢(shì)感知設(shè)備、日志審計(jì)設(shè)備以及終端防護(hù)軟件(如殺毒軟件、防護(hù)軟件(edr))并將它們啟用，建立起聯(lián)動(dòng)機(jī)制，某一防護(hù)節(jié)點(diǎn)發(fā)現(xiàn)攻擊行為，及時(shí)封堵ip地址，截?cái)喙袅髁?#xff0c;才能做好信息系統(tǒng)的安全防護(hù)，不僅僅是針對(duì)弱口令的漏洞。

點(diǎn)擊上方“藍(lán)字”關(guān)注我們吧！

總結(jié)

以上是生活随笔為你收集整理的cmd 220 ftp 远程主机关闭连接_针对一些弱口令漏洞的解决办法——设置远程管理登录的配置...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。