🙊
关于作者
  • 个人简历
  • 联系作者
  • 运维日常记录
    • RAID 磁盘阵列
    • MBR 与 GPT 分区
    • Linux 命令行判断GPT和MBR分区
    • CentoS 7 系统 扩容根分区
  • Linux运维学习笔记
    • 计算机网络基础知识
    • Linux 系统启动过程
    • Linux 命令基本格式
    • Linux 文件删除原理
    • Linux 目录结构说明
    • Linux 查看命令帮助信息
    • Linux Yum 命令
    • Linux Apt 命令
  • Linux 运维管理
    • Linux 硬件管理
    • Linux 软件管理
    • Linux 磁盘管理
    • Linux 系统管理
    • Linux 网络管理
    • Linux 用户和组管理
    • Linux 文件与目录管理
    • Linux 文件压缩与解压缩管理
    • Linux SSL证书自动更新管理
  • 运维环境搭建
    • CentOS 7 安装与优化
    • CentOS 安装高版本Node.js
    • CentOS 升级安装Python2.7.X
    • CentOS 安装 Python3.8.X
    • CentOS 安装 PHP7.4.X
    • CentOS 安装 Mysql 8.0
    • CentOS 安装 Zabbix 5.0
    • Windows Server 部署 IIS
    • Cronsun 任务管理器部署
    • Teltport 堡垒机部署
    • Jump Server 堡垒机搭建及使用
    • CI & CD 持续集成部署
    • ELK6.5.0+Filebeat 日志系统部署
    • Lustre 分布式并行文件系统部署
  • 系统安全加固
    • Linux 操作系统加固
    • Windows 操作系统安全加固
    • Password 安全加固
    • OpenSSL 安全加固
    • NFS 服务安全加固
    • Rsync 服务安全加固
    • IIS 服务安全加固
    • PHP 语言环境安全加固
    • Apache 服务安全加固
    • Nginx 服务安全加固
    • Tomcat 服务安全加固
    • MySQL 服务安全加固
    • PostgreSQL 服务安全加固
    • Redis 服务安全加固
    • MongoDB 服务安全加固
    • 暴力破解攻击和防御
  • 云原生运维教程
    • Docker 理论
    • Docker 基本架构
    • Docker 基本概念
    • Docker 基本使用
      • 容器
      • 镜像
      • 仓库
    • Docker 存储
    • Docker 网络
    • Docker 安装
  • Linux 系统故障排查
    • Linux 系统重置密码方法
    • Linux 系统误操作修改目录权限为 777 修复方法
  • Windows 系统故障排查
    • Windows 和 Windows Server 中启用/禁用 SMBv1、SMBv2 和 SMBv3
    • Windows10建立映射网络驱动器报错,无法挂载共享文件系统,解决办法
  • 运维工具使用
    • 常用 Git 命令简介及使用
    • 常用 SVN 命令简介及使用
    • 常用 Vi / Vim 文本编辑工具简介及使用
    • 国内常用加速源使用及配置
    • 软碟通制作U启动和再生龙恢复Linux系统及备份
    • 常用JetBrains系列IDE快捷键
  • 中间件教程学习
    • Nginx 极简教程
    • Nginx 安装
    • Nginx 配置
    • Nginx 问题集
    • Mysql 教程
    • Mysql 运维
    • Mysql 原理
    • Redis 教程
    • Redis 持久化
    • Redis 复制
    • Redis 哨兵
    • Redis 集群
    • Redis 运维
    • PostgreSQL 教程
    • H2 教程
    • SqLite 教程
    • 数据库中间件 flyway
  • Nginx 入门教程
  • MySQL 入门教程
  • Nosql 数据库
  • 常用工具快捷键
    • Windows10常用快捷键大全
  • Group 1
由 GitBook 提供支持
在本页
  • 一、背景信息
  • 二、弱口令攻击防御方法
  • 三、常见系统及服务口令修改方法

这有帮助吗?

  1. 系统安全加固

Password 安全加固

上一页Windows 操作系统安全加固下一页OpenSSL 安全加固

最后更新于3年前

这有帮助吗?

博客作者:联系请,搬运不易,希望请作者喝咖啡,可以点击

在针对服务器的入侵事件中,有近一半的比例是弱口令爆破攻击,每年由此类攻击引发的勒索和挖矿行为给用户带来巨大的损失,为了减少此类入侵事件带来的损失,您可以参考本文完成弱口令的安全加固和攻击防御。

一、背景信息

据部分行业媒体报导,近年来由弱口令引发的安全事件占到云上安全事件总数的一半以上,并且有逐年上升的趋势。有研究机构预测2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。

二、弱口令攻击防御方法

您可以通过以下两种方法防御弱口令攻击:

  • 设置复杂密码复杂密码应同时满足以下要求:

    • 密码长度大于等于8个字符。

    • 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)、特殊字符(`~!@$%^&*()-_=+#|[{}];:'",<.>/?)中三种字符的组合。

    • 密码不能为用户名或用户名的倒序。

    • 不使用常见或公开的弱口令。

      • 已公开的常用弱口令。例如abcd1234、admin、root、admin@123等。

      • 数字或字母连排或混排,键盘字母连排。例如123456、abcdef、123abc、qwerty、1qaz2wsx等。

      • 短语密码。例如5201314、woaini1314等。

      • 公司名称、 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份等。

  • 避免服务端口开放到互联网

    如果服务器的运维端口和数据库服务端口暴露在互联网上,则存在被黑客扫描发现和暴力破解的风险。您可以使用防火墙或者安全组减小服务端口的暴露面,仅将端口开放给有业务需要的服务器访问。

三、常见系统及服务口令修改方法

以下表格介绍修改Linux服务器、MySQL数据库、Redis数据库等常见系统的登录弱口令的操作方法。

系统名称

修改登录口令操作步骤

说明

Linux系统

在Linux系统服务器中,执行passwd [<user>]命令修改用户登录口令。

其中<user>为登录用户名,如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。

Windows系统

本处以Windows 10为例,说明修改用户登录口令的方法。

  1. 在Windows设置页面,单击帐户。

  2. 在左侧导航栏单击登录选项。

  3. 根据页面提示更改服务器密码。

无。

MySQL数据库

  1. 登录MySQL数据库。

  2. 执行以下命令查看数据库用户密码信息。

    说明 部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息,请您执行以下命令。

  3. 执行以下命令,根据查询结果及弱密码告警信息修改用户的密码。

  4. 执行刷新命令flush privileges;。

无。

Redis数据库

  1. 打开Redis数据库的配置文件redis.conf。

  2. 执行以下命令修改或增加口令。

  3. 重启Redis服务。

其中<password>为登录口令。如果已存在登录口令,则将其修改为复杂口令;如果不存在登录口令,则添加新口令。

SQL Server数据库

  • Linux系统登录登录SQL Server数据库,执行以下命令修改登录口令。

  • Windows认证登录

    在SQL Server数据库客户端,依次选择安全性 > 登录名 ,选中用户后将弱口令修改为复杂口令。

其中<oldpassword>为旧口令,<newpassword>为新口令,<user>为用户名。

MongoDB数据库

  1. 登录MongoDB数据库。

  2. 执行use admin命令切换到admin用户。

  3. 执行use <db_name>命令切换到需要修改登录口令的数据库。

  4. 执行db.updateUser('<username>',{pwd:'<newpassword>'})命令修改数据库的登录名和口令。

  • db_name为需要修改登录口令的数据库名称。

  • username为待修改口令的用户名,newpassword为新口令。

  • 修改口令完成后,需等待15分钟才能检测修改后的口令是否为弱口令。

PostgreSQL数据库

  1. 登录PostgreSQL数据库。

  2. 执行以下命令修改弱口令。

其中<user>为用户名,<newpassword>为新口令。

Tomcat

  1. 打开Tomcat根目录下的配置文件conf/tomcat-user.xml。

  2. 修改user节点的password属性值为复杂口令。

无。

Rsync

  1. 打开Rsync的配置文件rsyncd.conf。

  2. 找到secrets file配置项,并在该配置项中找到rsyncd.secret文件的路径。

  3. 将rsyncd.secret文件按用户名:口令的形式编辑,修改对应用户的口令为新的复杂口令。

  4. 重启Rsync服务。

无。

SVN

  1. 打开版本库目录。

  2. 在配置文件<path>/conf/svnserve.conf中找到password-db。

  3. 根据password-db配置找到口令配置文件路径,将该文件中的口令修改为指定的口令(默认为passwd文件)。

  4. 重启SVN服务。

无。

vsftpd服务器软件

  • 本地用户

    1. 打开配置文件vsftpd.conf。

    2. 增加或修改配置项anonymous_enable的值为NO。

      anonymous_enable的值为NO表示禁止匿名登录。

    3. 执行passwd <ftpuser>命令修改FTP用户的口令。

      <ftpuser>为ftp用户的用户名。

    4. 根据提示设置符合要求的新的复杂口令。

  • 虚拟用户

    1. 打开文件/etc/vsftpd/login.txt。

    2. 修改用户名对应的口令并保存。

      该文件格式为:第1行是用户A的用户名,第2行是用户A的口令,第3行是用户B的用户名,第4行是用户B的口令,以此类推。

    3. 执行db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db命令。

    4. 重启vsftpd。

登录Windows服务器后,在左下角单击图标。

单击图标。

修改/etc/pam.d/vsftpd文件。在存在auth pam_userdb.so和account pam_userdb.so的行后分别添加语句db=/etc/vsftpd/login,修改完成后保存。具体位置见下图。

SELECT user, host, authentication_string FROM user;
SELECT user, host, password FROM user; 
SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码'); 
requirepass <password>;
 exec sp_password '<oldpassword>','<newpassword>','<user>'
ALTER USER <user> WITH PASSWORD '<newpassword>';
点击
联系博客作者
设置图标
vsftpd文件修改位置
开始图标