🙊
🙊
🙊
🙊
关于作者
搜索文档…
🙊
🙊
🙊
🙊
关于作者
个人简历
联系作者
运维面试必问
RAID 磁盘阵列
MBR 与 GPT 分区
Linux 内核优化
关系型数据库
关系型数据库基本原理
SQL 基本语法
Linux运维学习笔记
计算机网络基础知识
Linux 系统启动过程
Linux 命令基本格式
Linux 文件删除原理
Linux 命令行判断GPT和MBR分区
Linux 目录结构说明
Linux 查看命令帮助信息
Linux Yum 命令
Linux Apt 命令
Linux 运维管理
Linux 硬件管理
Linux 软件管理
Linux 磁盘管理
Linux 系统管理
Linux 网络管理
Linux 用户和组管理
Linux 文件与目录管理
Linux 文件压缩与解压缩管理
Linux SSL证书自动更新管理
系统安全加固
Linux 操作系统加固
Windows 操作系统安全加固
Password 安全加固
OpenSSL 安全加固
NFS 服务安全加固
Rsync 服务安全加固
IIS 服务安全加固
PHP 语言环境安全加固
Apache 服务安全加固
Nginx 服务安全加固
Tomcat 服务安全加固
MySQL 服务安全加固
PostgreSQL 服务安全加固
Redis 服务安全加固
MongoDB 服务安全加固
暴力破解攻击和防御
Linux 系统故障排查
Linux 系统重置密码方法
Linux 系统误操作修改目录权限为 777 修复方法
Windows 系统故障排查
Windows 和 Windows Server 中启用/禁用 SMBv1、SMBv2 和 SMBv3
Windows10建立映射网络驱动器报错,无法挂载共享文件系统,解决办法
运维工具使用
常用 Git 命令简介及使用
常用 SVN 命令简介及使用
常用 Vi / Vim 文本编辑工具简介及使用
国内常用加速源使用及配置
软碟通制作U启动和再生龙恢复Linux系统及备份
常用JetBrains系列IDE快捷键
运维环境搭建
CentOS 7 安装与优化
CentOS 安装高版本Node.js
CentOS 升级安装Python2.7.X
CentOS 安装 Python3.8.X
CentOS 安装 PHP7.4.X
CentOS 安装 Mysql 8.0
CentOS 安装 Zabbix 5.0
Windows Server 部署 IIS
Cronsun 任务管理器部署
Teltport 堡垒机部署
Jump Server 堡垒机搭建及使用
CI & CD 持续集成部署
ELK6.5.0+Filebeat 日志系统部署
中间件教程学习
Nginx 极简教程
Nginx 安装
Nginx 配置
Nginx 问题集
Mysql 教程
Mysql 运维
Mysql 原理
Redis 教程
Redis 持久化
Redis 复制
Redis 哨兵
Redis 集群
Redis 运维
PostgreSQL 教程
H2 教程
SqLite 教程
Linux 命令大全
Linux 运维教程
Shell 教程
Java 教程
Python 全栈教程
nftables 中文教程
Docker -入门到实践
Docker 入门教程
Prometheus 监控
Kubernetes中文指南/云原生应用架构实践手册
ELKstack 中文指南
Elasticsearch 权威指南
Python 入门指南
Nginx 入门教程
MySQL 入门教程
Go 语言高级编程
Python 爬虫教程
Github 漫游指南
Jenkins 中文教程
数据库中间件 flyway
Nosql 数据库
常用工具快捷键
Windows10常用快捷键大全
PyCharm 使用技巧
GitBook 提供支持
Password 安全加固

博客作者:联系请点击,搬运不易,希望请作者喝咖啡,可以点击联系博客作者

在针对服务器的入侵事件中,有近一半的比例是弱口令爆破攻击,每年由此类攻击引发的勒索和挖矿行为给用户带来巨大的损失,为了减少此类入侵事件带来的损失,您可以参考本文完成弱口令的安全加固和攻击防御。

一、背景信息

据部分行业媒体报导,近年来由弱口令引发的安全事件占到云上安全事件总数的一半以上,并且有逐年上升的趋势。有研究机构预测2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。

二、弱口令攻击防御方法

您可以通过以下两种方法防御弱口令攻击:
  • 设置复杂密码复杂密码应同时满足以下要求:
    • 密码长度大于等于8个字符。
    • 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)、特殊字符(`[email protected]$%^&*()-_=+#|[{}];:'",<.>/?)中三种字符的组合。
    • 密码不能为用户名或用户名的倒序。
    • 不使用常见或公开的弱口令。
      • 已公开的常用弱口令。例如abcd1234、admin、root、[email protected]等。
      • 数字或字母连排或混排,键盘字母连排。例如123456、abcdef、123abc、qwerty、1qaz2wsx等。
      • 短语密码。例如5201314、woaini1314等。
      • 公司名称、 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份等。
  • 避免服务端口开放到互联网
    如果服务器的运维端口和数据库服务端口暴露在互联网上,则存在被黑客扫描发现和暴力破解的风险。您可以使用防火墙或者安全组减小服务端口的暴露面,仅将端口开放给有业务需要的服务器访问。

三、常见系统及服务口令修改方法

以下表格介绍修改Linux服务器、MySQL数据库、Redis数据库等常见系统的登录弱口令的操作方法。
系统名称
修改登录口令操作步骤
说明
Linux系统
在Linux系统服务器中,执行passwd [<user>]命令修改用户登录口令。
其中<user>为登录用户名,如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。
Windows系统
本处以Windows 10为例,说明修改用户登录口令的方法。
  1. 1.
    登录Windows服务器后,在左下角单击
    图标。
  2. 2.
    单击
    图标。
  3. 3.
    在Windows设置页面,单击帐户。
  4. 4.
    在左侧导航栏单击登录选项。
  5. 5.
    根据页面提示更改服务器密码。
无。
MySQL数据库
  1. 1.
    登录MySQL数据库。
  2. 2.
    执行以下命令查看数据库用户密码信息。
    1
    SELECT user, host, authentication_string FROM user;
    Copied!
    说明 部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息,请您执行以下命令。
    1
    SELECT user, host, password FROM user;
    Copied!
  3. 3.
    执行以下命令,根据查询结果及弱密码告警信息修改用户的密码。
    1
    SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');
    Copied!
  4. 4.
    执行刷新命令flush privileges;
无。
Redis数据库
  1. 1.
    打开Redis数据库的配置文件redis.conf。
  2. 2.
    执行以下命令修改或增加口令。
    1
    requirepass <password>;
    Copied!
  3. 3.
    重启Redis服务。
其中<password>为登录口令。如果已存在登录口令,则将其修改为复杂口令;如果不存在登录口令,则添加新口令。
SQL Server数据库
  • Linux系统登录登录SQL Server数据库,执行以下命令修改登录口令。
    1
    exec sp_password '<oldpassword>','<newpassword>','<user>'
    Copied!
  • Windows认证登录
    在SQL Server数据库客户端,依次选择安全性 > 登录名 ,选中用户后将弱口令修改为复杂口令。
其中<oldpassword>为旧口令,<newpassword>为新口令,<user>为用户名。
MongoDB数据库
  1. 1.
    登录MongoDB数据库。
  2. 2.
    执行use admin命令切换到admin用户。
  3. 3.
    执行use <db_name>命令切换到需要修改登录口令的数据库。
  4. 4.
    执行db.updateUser('<username>',{pwd:'<newpassword>'})命令修改数据库的登录名和口令。
  • db_name为需要修改登录口令的数据库名称。
  • username为待修改口令的用户名,newpassword为新口令。
  • 修改口令完成后,需等待15分钟才能检测修改后的口令是否为弱口令。
PostgreSQL数据库
  1. 1.
    登录PostgreSQL数据库。
  2. 2.
    执行以下命令修改弱口令。
    1
    ALTER USER <user> WITH PASSWORD '<newpassword>';
    Copied!
其中<user>为用户名,<newpassword>为新口令。
Tomcat
  1. 1.
    打开Tomcat根目录下的配置文件conf/tomcat-user.xml。
  2. 2.
    修改user节点的password属性值为复杂口令。
无。
Rsync
  1. 1.
    打开Rsync的配置文件rsyncd.conf。
  2. 2.
    找到secrets file配置项,并在该配置项中找到rsyncd.secret文件的路径。
  3. 3.
    将rsyncd.secret文件按用户名:口令的形式编辑,修改对应用户的口令为新的复杂口令。
  4. 4.
    重启Rsync服务。
无。
SVN
  1. 1.
    打开版本库目录。
  2. 2.
    在配置文件<path>/conf/svnserve.conf中找到password-db
  3. 3.
    根据password-db配置找到口令配置文件路径,将该文件中的口令修改为指定的口令(默认为passwd文件)。
  4. 4.
    重启SVN服务。
无。
vsftpd服务器软件
  • 本地用户
    1. 1.
      打开配置文件vsftpd.conf。
    2. 2.
      增加或修改配置项anonymous_enable的值为NO。
      anonymous_enable的值为NO表示禁止匿名登录。
    3. 3.
      执行passwd <ftpuser>命令修改FTP用户的口令。
      <ftpuser>为ftp用户的用户名。
    4. 4.
      根据提示设置符合要求的新的复杂口令。
  • 虚拟用户
    1. 1.
      打开文件/etc/vsftpd/login.txt。
    2. 2.
      修改用户名对应的口令并保存。
      该文件格式为:第1行是用户A的用户名,第2行是用户A的口令,第3行是用户B的用户名,第4行是用户B的口令,以此类推。
    3. 3.
      执行db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db命令。
    4. 4.
      修改/etc/pam.d/vsftpd文件。在存在auth pam_userdb.soaccount pam_userdb.so的行后分别添加语句db=/etc/vsftpd/login,修改完成后保存。具体位置见下图。
    5. 5.
      重启vsftpd。
系统安全加固 - 以前
Windows 操作系统安全加固
下一个 - 系统安全加固
OpenSSL 安全加固
最近更新 1yr ago
复制链接
内容
一、背景信息
二、弱口令攻击防御方法
三、常见系统及服务口令修改方法