Password 安全加固

博客作者：联系请点击，搬运不易，希望请作者喝咖啡，可以点击联系博客作者​
在针对服务器的入侵事件中，有近一半的比例是弱口令爆破攻击，每年由此类攻击引发的勒索和挖矿行为给用户带来巨大的损失，为了减少此类入侵事件带来的损失，您可以参考本文完成弱口令的安全加固和攻击防御。
一、背景信息
据部分行业媒体报导，近年来由弱口令引发的安全事件占到云上安全事件总数的一半以上，并且有逐年上升的趋势。有研究机构预测2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。
二、弱口令攻击防御方法
您可以通过以下两种方法防御弱口令攻击：
设置复杂密码复杂密码应同时满足以下要求：
密码长度大于等于8个字符。
至少包含大写字母（A~Z）、小写字母（a~z）、数字（0~9）、特殊字符（`[email protected]$%^&*()-_=+#|[{}];:'",<.>/?）中三种字符的组合。
密码不能为用户名或用户名的倒序。
不使用常见或公开的弱口令。
已公开的常用弱口令。例如abcd1234、admin、root、[email protected]等。
数字或字母连排或混排，键盘字母连排。例如123456、abcdef、123abc、qwerty、1qaz2wsx等。
短语密码。例如5201314、woaini1314等。
公司名称、 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份等。
避免服务端口开放到互联网
如果服务器的运维端口和数据库服务端口暴露在互联网上，则存在被黑客扫描发现和暴力破解的风险。您可以使用防火墙或者安全组减小服务端口的暴露面，仅将端口开放给有业务需要的服务器访问。
三、常见系统及服务口令修改方法
以下表格介绍修改Linux服务器、MySQL数据库、Redis数据库等常见系统的登录弱口令的操作方法。
系统名称
修改登录口令操作步骤
说明
Linux系统
在Linux系统服务器中，执行passwd [<user>]命令修改用户登录口令。
其中<user>为登录用户名，如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。
Windows系统
本处以Windows 10为例，说明修改用户登录口令的方法。
1.登录Windows服务器后，在左下角单击​
​图标。
2.单击​
​图标。
3.在Windows设置页面，单击帐户。
4.在左侧导航栏单击登录选项。
5.根据页面提示更改服务器密码。
无。
MySQL数据库
1.登录MySQL数据库。
2.执行以下命令查看数据库用户密码信息。
SELECT user, host, authentication_string FROM user;
说明 部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息，请您执行以下命令。
SELECT user, host, password FROM user; 
3.执行以下命令，根据查询结果及弱密码告警信息修改用户的密码。
SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码'); 
4.执行刷新命令flush privileges;。
无。
Redis数据库
1.打开Redis数据库的配置文件redis.conf。
2.执行以下命令修改或增加口令。
requirepass <password>；
3.重启Redis服务。
其中<password>为登录口令。如果已存在登录口令，则将其修改为复杂口令；如果不存在登录口令，则添加新口令。
SQL Server数据库
Linux系统登录登录SQL Server数据库，执行以下命令修改登录口令。
 exec sp_password '<oldpassword>','<newpassword>','<user>'
Windows认证登录
在SQL Server数据库客户端，依次选择安全性 > 登录名 ，选中用户后将弱口令修改为复杂口令。
其中<oldpassword>为旧口令，<newpassword>为新口令，<user>为用户名。
MongoDB数据库
1.登录MongoDB数据库。
2.执行use admin命令切换到admin用户。
3.执行use <db_name>命令切换到需要修改登录口令的数据库。
4.执行db.updateUser('<username>',{pwd:'<newpassword>'})命令修改数据库的登录名和口令。
db_name为需要修改登录口令的数据库名称。
username为待修改口令的用户名，newpassword为新口令。
修改口令完成后，需等待15分钟才能检测修改后的口令是否为弱口令。
PostgreSQL数据库
1.登录PostgreSQL数据库。
2.执行以下命令修改弱口令。
ALTER USER <user> WITH PASSWORD '<newpassword>';
其中<user>为用户名，<newpassword>为新口令。
Tomcat
1.打开Tomcat根目录下的配置文件conf/tomcat-user.xml。
2.修改user节点的password属性值为复杂口令。
无。
Rsync
1.打开Rsync的配置文件rsyncd.conf。
2.找到secrets file配置项，并在该配置项中找到rsyncd.secret文件的路径。
3.将rsyncd.secret文件按用户名:口令的形式编辑，修改对应用户的口令为新的复杂口令。
4.重启Rsync服务。
无。
SVN
1.打开版本库目录。
2.在配置文件<path>/conf/svnserve.conf中找到password-db。
3.根据password-db配置找到口令配置文件路径，将该文件中的口令修改为指定的口令（默认为passwd文件）。
4.重启SVN服务。
无。
vsftpd服务器软件
本地用户
1.打开配置文件vsftpd.conf。
2.增加或修改配置项anonymous_enable的值为NO。
anonymous_enable的值为NO表示禁止匿名登录。
3.执行passwd <ftpuser>命令修改FTP用户的口令。
<ftpuser>为ftp用户的用户名。
4.根据提示设置符合要求的新的复杂口令。
虚拟用户
1.打开文件/etc/vsftpd/login.txt。
2.修改用户名对应的口令并保存。
该文件格式为：第1行是用户A的用户名，第2行是用户A的口令，第3行是用户B的用户名，第4行是用户B的口令，以此类推。
3.执行db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db命令。
4.修改/etc/pam.d/vsftpd文件。在存在auth pam_userdb.so和account pam_userdb.so的行后分别添加语句db=/etc/vsftpd/login，修改完成后保存。具体位置见下图。​
​​
5.重启vsftpd。
​

最近更新 1yr ago

系统名称	修改登录口令操作步骤	说明
Linux系统	在Linux系统服务器中，执行passwd [<user>]命令修改用户登录口令。	其中`<user>`为登录用户名，如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。
Windows系统	本处以Windows 10为例，说明修改用户登录口令的方法。 1. 登录Windows服务器后，在左下角单击图标。 2. 单击图标。 3. 在Windows设置页面，单击帐户。 4. 在左侧导航栏单击登录选项。 5. 根据页面提示更改服务器密码。	无。
MySQL数据库	1. 登录MySQL数据库。 2. 执行以下命令查看数据库用户密码信息。 SELECT user, host, authentication_string FROM user; 说明部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息，请您执行以下命令。 SELECT user, host, password FROM user; 3. 执行以下命令，根据查询结果及弱密码告警信息修改用户的密码。 SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码'); 4. 执行刷新命令`flush privileges;`。	无。
Redis数据库	1. 打开Redis数据库的配置文件redis.conf。 2. 执行以下命令修改或增加口令。 requirepass <password>； 3. 重启Redis服务。	其中`<password>`为登录口令。如果已存在登录口令，则将其修改为复杂口令；如果不存在登录口令，则添加新口令。
SQL Server数据库	Linux系统登录登录SQL Server数据库，执行以下命令修改登录口令。 exec sp_password '<oldpassword>','<newpassword>','<user>' Windows认证登录在SQL Server数据库客户端，依次选择安全性 > 登录名，选中用户后将弱口令修改为复杂口令。	其中`<oldpassword>`为旧口令，`<newpassword>`为新口令，`<user>`为用户名。
MongoDB数据库	1. 登录MongoDB数据库。 2. 执行`use admin`命令切换到admin用户。 3. 执行`use <db_name>`命令切换到需要修改登录口令的数据库。 4. 执行`db.updateUser('<username>',{pwd:'<newpassword>'})`命令修改数据库的登录名和口令。	`db_name`为需要修改登录口令的数据库名称。 `username`为待修改口令的用户名，`newpassword`为新口令。修改口令完成后，需等待15分钟才能检测修改后的口令是否为弱口令。
PostgreSQL数据库	1. 登录PostgreSQL数据库。 2. 执行以下命令修改弱口令。 ALTER USER <user> WITH PASSWORD '<newpassword>';	其中`<user>`为用户名，`<newpassword>`为新口令。
Tomcat	1. 打开Tomcat根目录下的配置文件conf/tomcat-user.xml。 2. 修改user节点的password属性值为复杂口令。	无。
Rsync	1. 打开Rsync的配置文件rsyncd.conf。 2. 找到`secrets file`配置项，并在该配置项中找到`rsyncd.secret`文件的路径。 3. 将rsyncd.secret文件按`用户名:口令`的形式编辑，修改对应用户的口令为新的复杂口令。 4. 重启Rsync服务。	无。
SVN	1. 打开版本库目录。 2. 在配置文件<path>/conf/svnserve.conf中找到`password-db`。 3. 根据password-db配置找到口令配置文件路径，将该文件中的口令修改为指定的口令（默认为passwd文件）。 4. 重启SVN服务。	无。
vsftpd服务器软件	本地用户 1. 打开配置文件vsftpd.conf。 2. 增加或修改配置项`anonymous_enable`的值为NO。 `anonymous_enable`的值为NO表示禁止匿名登录。 3. 执行`passwd <ftpuser>`命令修改FTP用户的口令。 `<ftpuser>`为ftp用户的用户名。 4. 根据提示设置符合要求的新的复杂口令。虚拟用户 1. 打开文件/etc/vsftpd/login.txt。 2. 修改用户名对应的口令并保存。该文件格式为：第1行是用户A的用户名，第2行是用户A的口令，第3行是用户B的用户名，第4行是用户B的口令，以此类推。 3. 执行`db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db`命令。 4. 修改/etc/pam.d/vsftpd文件。在存在`auth pam_userdb.so`和`account pam_userdb.so`的行后分别添加语句`db=/etc/vsftpd/login`，修改完成后保存。具体位置见下图。 5. 重启vsftpd。

Password 安全加固

博客作者：联系请点击，搬运不易，希望请作者喝咖啡，可以点击联系博客作者​

一、背景信息

二、弱口令攻击防御方法

三、常见系统及服务口令修改方法

博客作者：联系请点击，搬运不易，希望请作者喝咖啡，可以点击联系博客作者