看到隔壁在说开了 22 端口被各种扫,还有 3389 的,即便改了端口也没什么用,照样被扫,还有可能一天上千次的尝试登录。
其实我很不理解,他扫归他扫,他试归他试,对用户有什么影响?即便尝试了几千万次,不知道你密码有什么用?反正都是登不上,何必要管他们,放着不就完了?有什么影响?
也看到过有人说被黑了的,但这些无一例外都是弱密码导致的,和端口暴不暴露、协议安不安全没任何关系。
至于说“如果哪天 rdp/ssh 出现了漏洞,那直接中招”这种想法,rdp/ssh 已经发展了几十年,相关技术已经足够成熟,除非你机器系统过于老旧仍然使用远古版本,试问,现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的?确实有很多的高危漏洞在不断被暴出来,我们公司也会要求升级 openssh 版本,但先不说这些漏洞的使用都是有前置条件的,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
如果希望纯利用漏洞来登录一台机器,往往需要多个漏洞相互配合。这么复杂的攻击显然不是扫端口这种广撒网的方式能成功的,这种程度已经是针对性攻击了。比如交易所/加密钱包被攻破被盗,这是已经被盯上了,大概率使用了人性的漏洞(钓鱼,弱密码,不安全的存储/传输方式,撞库),而不是安全协议本身有问题,包括各种远程访问协议,传输协议等,这些社工方式不在本帖考虑范围内。
对于 nfs, samba, ftp, telnet 这些东西,nfs 和 smb 本来就是内网用的,不应该暴露公网(即便如此,smb v3 和 nfs v4 都有加密协议); ftp 和 telnet 上古产物不考虑。至于其他的,比如宝塔面板,xx 面板出现大规模漏洞,这是第三方软件的事情,和 ssh rdp 本身无关。
以上只说 ssh 和 rdp ,只是感觉这俩东西足够安全(你的密码本身没有问题),完全不需要做其他额外的防护。
所以,请告诉我暴露这些端口的弊端有哪些?
1
adoal 21 天前
我自己管理的服务器从来不封或者改管理端口。但是遇到法人单位的中心机房在网关设备上封 22 和 3389 的,因为,各下属二级业务单位的信息化共用机房,我能把这些管理端口上的安全配置做好,但跟我用同一个机房甚至同一个网段服务器的其它单位,往往是没有技术部门的,负责信息化的是综合办公室里一个文科出身的副主任或者普通科员,一切都靠技术能力浮动范围很大的业务系统开发厂家来搞。然后导致很多 root 弱密码进入。所以管理部门一刀切了,我也没办法。
|
2
uuair 21 天前
我自己碰到的问题是日志增加的太快了,要是限制日志容量,那么可能会错过有用的信息。
而且,谁说自己的密码肯定没问题呢?你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊,不可能每时每刻都打补丁吧,万一你就是那第一个被发现漏洞的机器呢?这就好比,你夜里 12 点会因为马路上没人而不穿衣服上街么? |
3
ShinichiYao 21 天前
主要是断了攻击者的念想,每天上万次来自世界各地的 IP 在盯着猜你的密码
|
4
yeqizhang 21 天前 via Android
占个楼问些问题🐶
不懂网络这块,有没有大佬解惑下,就是换了端口,除了 ssh 这种会响应明显的信息外,其它一些 tcp 服务在换了端口后是怎样识别到是什么服务来攻击的呢? 还有个问题,就是我有个 web 服务,如果不公开 path ,别人是不是就没法请求到这个接口? |
5
ysc3839 21 天前 via Android
一般认为 VPN 服务漏洞没那么多,而且就算有漏洞被攻破了,还得通过 VPN 去扫描别的服务,再进行进一步攻击才能拿到权限。如果说 VPN 服务存在远程代码执行漏洞,也可以用低权限用户运行来防范(不过这个方案不适用于内核模式实现的 WireGuard),而 ssh rdp 之类的,因为涉及用户登录,只能以高权限运行。
|
6
jhytxy 21 天前 1
前一阵不是 Debian 的 ssh 还出漏洞了你不知道?
这世界就是个草台班子 |
7
ysc3839 21 天前 via Android
“现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的”
搜索 rdp rce 就能找到 https://www.cnblogs.com/backlion/p/11482322.html |
8
NevadaLi OP @uuair #2 日志还好吧,好几年也没上 GB
“而且,谁说自己的密码肯定没问题呢?” 想要确认自己的密码是否安全,chrome 就可以告诉你使用的密码是否有泄露。 “你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊” 请举例哪些是密码设置了很复杂,系统不是古董,但由于漏洞被拿到登录权限的? |
9
NevadaLi OP @jhytxy #6 请具体列出 CVE 号码。我们公司也因为漏洞而升级 openssh ,恰好上月就升过,也看了漏洞详情,但就像我说的,这些漏洞的使用都有前置条件,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
@ysc3839 #7 这是 2019 年的漏洞,距离现在已经五六年了,对应 Windows 10 version 1909 ,该版本在 2021 年已经停止支持。如果现在还有人在用不受支持的 windows 远古版本,那我还能说啥?目前消费级系统里,受支持的系统为 Windows 11 version 23H2 ,如果你升级到了受支持的系统还有这漏洞,那当我什么都没说。 |
10
aminobody 21 天前
我喜欢 rdp over ssh, ssh 仅密钥, rdp 弱密码, 仅在公网暴露 ssh 端口.
|
11
lambdaq 21 天前
是这样的,没弊端。就好比如果你家里穷得一批,那么你锁不锁门无所谓的。
LZ 勇敢的向前冲。 |
12
uuair 21 天前 1
@NevadaLi #8 请搜索:“3389 端口+输入法漏洞”
当年我用这个漏洞进入了无数台开了 3389 端口的机器,你还需要我免费提供劳动力给你证明么?这种案例太多了。 |
13
chouxw112233 21 天前
4 楼的问题我也想知道
tcp 端口是可以被扫的,只需要尝试握手就行了。但是协议那么多,难道只尝试常用协议吗? 比如 smb ,rdp ,ssh ,tftp ,ftp ,telnet ,http? 还有,协议是协议,实现是实现,可能 nginx 的 http 漏洞,别的服务端不存在。黑客的流程难道是扫到 tcp 8081 ,然后尝试 http 去访问,htto 建立成功了就尝试 nginx 漏洞? udp 是不是就安全许多? path 这个我也不清楚,我开了一个 nginx 服务,指定 test.example.com 才有我的服务,黑客有技术能扫到吗? |
14
yinmin 21 天前
ssh 仅密钥登录(禁用密码模式),毕竟这么多大佬公司都用 ssh ,应该问题不大。如果还需要加一次保护,可以 ssh over tls(也能过某些变态防火墙)
rdp 不敢直接暴露公网,因为 rdp 曾经出现了几次 0day 漏洞。建议: rdp over vpn rdp over ssh rdp over tls(双证书认证) rdp over frp(stcp) |
15
NevadaLi OP |
17
ococnehc 21 天前
@yeqizhang 其实和 ssh 密码字典类似,攻击脚本也有个类似与服务端口名单的表,里面填了比较常用的服务端口和对应的默认配置,然后用表里面的信息一个个试,所以只要你的端口不是默认配置,又没有任何常见回传,脚本没撞到,基本上是很安全的
|
19
delacey 21 天前
因为对安全的容忍度不一样,很多情况下大家需要更安全的 ssh
|
21
Gitmeeri 20 天前 via Android
尝试登录的都是针对弱密码的,试了那些常见字典库不行它们会自己离开。。。
|
22
kenneth104 20 天前
曝露了,就可以直接把你端口 dd 死
遇到过不少了 |
23
fano 20 天前
防火墙限制下源地址,比如禁止中国大陆以外访问。
|
24
NevadaLi OP @kenneth104 #22 ddos 是攻击,这东西无论什么端口都能被 d ,包括 80 443 ,照这么说机器都别放互联网了,都有可能被 dd 的。。。
|
28
WhatTheBridgeSay 20 天前
|
29
jqtmviyu 20 天前
我就没改 ssh 端口, 关闭密码登录, 只允许密钥.
服务全在 docker 里. |
30
NevadaLi OP @WhatTheBridgeSay 改端口号确实理论上来说可以减小攻击面,但我不认可这个方法,因为很多常用服务的端口号都是固定的,为什么 3389 不行?按照这个逻辑来说,那貌似我们互联网的各种 https 都应该是随机端口号,而不是固定的 443 。
如果说存在某个漏洞是由于 3389 这个数字导致触发了什么奇奇怪怪的溢出之类的原因要改掉 3389 ,这个是可以接受的。 |
31
NevadaLi OP @jqtmviyu hhh ,我也差不多,ssh 这东西我熟,如果有人说 22 不安全,要改掉端口号我是不会听的(技术角度),因为我服务十来年了 ssh 暴露在外从没有出过问题。
|
32
uuair 20 天前
@NevadaLi #15 你看,你让我提供案例,我提供了你又说现在系统没问题,你是杠精转世嘛?我现在免费给你一个目前 3389 的漏洞让你自己试试??当年输入法漏洞,用的就是微软的智能输入法,懂?任何软件都有漏洞,暴露的越多,漏洞越多。五六年没问题,那是因为你不配有问题好么。
|
33
NevadaLi OP @uuair #32 你举得例子有问题啊,都说了“密码设置了很复杂,系统不是古董,但由于漏洞被拿到登录权限的”,你的输入法漏洞,请问,现在的系统还有智能 ABC ?这都多少年了,2024 年拿一个几十年前的系统距离没有任何说服性,既然这样,您不如拿个 1970 年 1 月 1 日的机器来举例吧,那时候甚至登录这个功能有没有还不好说呢。
我指的就是 rdp 和 ssh 经过了十多二十年的发展,安全性已经很可靠了,也没说 rdp 和 ssh 生来就很可靠啊。 还有,什么叫做我不配有问题?请不要人身攻击好吧,就事论事,我尊重你,也请你尊重我,上升到人身攻击就没什么好说的了。 |
34
NevadaLi OP @uuair #32 而且不止我一个认为是输入法是第三方的问题,参考 # 25
你说智能 ABC 是原生自带这没问题,配合 rdp 也没问题,但这东西他不是现代的啊,我没见过没到 eol 的系统有你说的问题的。 举例不看前提条件,还说对方是钢精,服了。。。 |
36
NevadaLi OP |
37
godall 20 天前 1
目前来讲网络安全访问有好到差:
1. 物理隔离(典型案例国内公务网) 除了所谓的电磁监听以外,其他就别想了。 2. 逻辑隔离(硬件网络防火墙+白名单) 上来就默认所有端口关闭,白名单模式(端口白名单+对端 ip 白名单)。当然防火墙也是 linux 系统的,也有可能攻破。基本上能隔绝 99.9999%攻击了吧,那种乱七八糟 0day 漏洞也不行,起码 ip 就隔离了。 3. 软件策略隔离(操作系统/应用软件) 比如 ssh+私钥证书。 除了软件漏洞外能基本隔绝破解。 4. 账户密码+多因子验证策略 比如苹果 google 的二步认证,必须密码+手机验证码。 5. 账户密码 比裸奔强点。别人知道账户密码就能登录 6.裸奔 强大无比! 个人以为,大多数情况下,限制客户端 ip 策略要比其他强一点,能隔绝形形色色的软件 bug ,比如修不完漏洞的 Windows 。 其他策略都是基于软件本身安全的情况下(二步认证也一样),实际上这是个空头承诺。 |