这是“端口扫描”吗？

Question

让脚本尝试使用公共帐户名列表或尝试“root”或“mail”(或类似的)多个密码仍然被认为是“端口扫描”吗？我希望找到一种方法来阻止这些，但我不知道该寻找什么。

当我想到术语port scan时，我想到使用NMAP (或等效的)来查找iptables中打开的内容。只是好奇这是否属于同一类别。

我的一些系统每天要记录几千个。这很烦人。

系统都是CentOS / RHEL。

编辑: iptables的“限制”看起来很有希望。最后，我可能必须为所有有效的流量设置一个虚拟专用网，并在我的公共服务器上使用类似“fail2ban”之类的东西。

Answer 1

这里需要的搜索词可能是“阻止失败的ssh登录尝试”或“块蛮力ssh”，甚至是“停止恶意ssh登录”。

fail2ban是一个非常流行的阻止这些现象的工具。它可以监视您的日志失败的SSH登录尝试，并阻止违规的IP后，多次失败了一定的时间。

其他一些加强SSH安全性的提示：

1. 如果您还没有禁用直接根登录。如果您想要考虑您的服务器的安全性，那么这是您真正应该做的基本要素之一。
2. 禁用密码身份验证并使用公钥身份验证。另一个基本要素。如果密码给不了你，他们对有效密码做了多少猜测并不重要。此外，如果在客户端使用密钥管理器，则使用密钥对登录非常方便。
3. 使用非标准端口。你可以使用像2222这样的东西，或者最好是一些更不明显的东西。在我的经验中，这会导致失败登录的数量急剧下降。尽管正如其他人在评论中指出的那样，您应该记住，端口扫描仍然很容易显示打开的端口，而且合法用户登录也可能不方便。
4. 阻止使用fail2ban的尝试失败。我建议你制定一些B计划，以防你不小心挡住了自己。如果您能够从不同的IP再试一次，您可以解除自己的障碍。
5. 实现港口敲击。这可能是过火，但如果实现，它可以使您失败的登录尝试降低到基本上为零。对于想要登录的合法用户来说，这可能非常不方便。每当你想要登录时，你都要仔细看一遍表演秘密敲门的歌舞。忘了用智能手机登录吧。

Answer 2

它属于暴力攻击的范畴。

使用iptables可以使用--seconds和--hitcount标志来有效地限制每秒的尝试量。唯一的缺点是攻击者可以调整攻击的速度，以避免触发规则，但通常情况下，攻击不会得到很好的监控。

您还应该禁用根登录，并使用SSH键，如果您还没有/还没有。从根本上说这些攻击是毫无意义的。

Answer 3

搜索词的候选词是"ssh蛮力尝试“。

虽然更改SSH端口不会增强网络的安全性，但它会提醒您注意恶意用户以您的计算机为目标，而不是懒惰的“尝试根目录:端口22上的根”脚本。我个人在我的服务器上使用这种方法来保持日志的相对安静。