这是一台 NAS 服务器,因为运营商很好,所以单独给配了一个公网 IP ,然后下午闲来无事看了一眼日志: 一堆爆棚密码的请求,而且是尝试一次换一次 ip ,根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施,ban 掉非本国的 IP ,晚上看依旧不少垃圾请求,于是,把 ip 直接解析到 127 。0 。0 。1 ,路由器 wan 侧请求全部 drop ,手法过于暴力,不知道大家有没有温柔一点的办法
1
tulongtou 2022-06-12 09:50:08 +08:00
关掉密码登录, 只允许密钥登录,任他爆破又能怎样
|
2
eason1874 2022-06-12 09:54:19 +08:00 2
每小时几次,每次是不同 IP 。。。这不是爆破,这就是日常漏洞扫描,在融资报告里叫网络资产测绘
网络上的扫描机器远不止几十个,一直都会有的。改掉端口,只允许密钥登录,就问题不大 |
3
hdp5252 2022-06-12 09:57:59 +08:00 via Android
一直密钥登录,我感觉还方便,密钥放 Dropbox 网盘,
每次登录还不用输密码 |
4
bs10081 2022-06-12 09:58:23 +08:00
|
5
AlexPUBLIC OP |
6
AlexPUBLIC OP @bs10081 我也没有开 admin ,关键是群晖 fail2ban 根本不提示这种情况,也不 ban ip ,不是心血来潮看日志根本发现不了
|
7
noqwerty 2022-06-12 10:02:30 +08:00 1
暴露在公网的机器都是这样的,可以直接 fail2ban ,或者把机器放在 wireguard 后面
|
9
makelove 2022-06-12 10:10:48 +08:00
瞎担心,只要密码是随机长密码这又有什么关系呢?穷举到宇宙尽头都不可能被爆
|
10
bs10081 2022-06-12 10:10:54 +08:00
|
11
bs10081 2022-06-12 10:12:22 +08:00
@elfive #8 群暉也可以這樣操作嘛?但是沒有開放公網 SSH 連線是不是就沒必要用密鑰了?畢竟平常都是通過網頁進入的 DSM 。
|
12
elfive 2022-06-12 10:17:40 +08:00 via iPhone
@bs10081 DSM 外网的端口肯定不能是默认的 5000 。
而且建议不要用 UPNP 做端口转发,等有需要连接 DSM 的时候,再打开转发。 |
13
elfive 2022-06-12 10:20:15 +08:00 via iPhone
|
14
bs10081 2022-06-12 10:26:15 +08:00
|
15
hanghang 2022-06-12 10:43:15 +08:00
在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ,也會有樓主這樣的情況。
|
16
AlexPUBLIC OP |
17
Qetesh 2022-06-12 11:57:36 +08:00 via iPhone
两种方式。第一种设置一个域名,通过设置-登陆门户-高级-反向代理,域名通过才转发到控制台。第二种使用 vpn 才能访问控制台,自带有 vpn ,也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
|
18
showgood163 2022-06-12 12:08:28 +08:00
这些扫描多是针对 IPV4 地址的。
服务端只监听 IPV6 ,基本没人扫的到 IP ,更不用谈登录了。 我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后,看不到除我自己外的登录尝试记录。 |
19
huaes 2022-06-12 12:40:01 +08:00
开 IPV6 DDNS 就行了,V4 能不用就不用,没准速度还能更快
|
20
jason94 2022-06-12 12:40:27 +08:00
我之前也是老被人爆破,开启 2 步骤校验,再也没有了
|
21
nicevar 2022-06-12 13:10:08 +08:00 1
自己检查一下设置,我的群晖狠起来连我都 ban 掉
|
22
vmebeh 2022-06-12 13:59:11 +08:00 via iPhone
有公网 ip 的话建议放在网关后面,连接 VPN 后才能访问,建议 wireguard ,配置超级简单
|
23
dcsuibian 2022-06-12 14:31:52 +08:00
应该只是被扫了。
参考群辉官方的: [如何提高 Synology NAS 的安全性?]( https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS) 公网访问,我的是改默认端口+HTTPS+超长的随机密码+仅开必要端口(非 dmz ),已经相当安全了 |
24
des 2022-06-12 14:42:59 +08:00 via iPhone
@showgood163 我服务器就有被扫端口的,还是 ipv6 也不知道是怎么做到的
|
25
terranboy 2022-06-12 14:49:07 +08:00
NAS 干什么用的 暴露在公网
|
27
mikewang 2022-06-12 16:14:14 +08:00
|
28
Serialize 2022-06-12 17:19:11 +08:00
不要用默认端口,设置尝试几次就 ban 掉,我 qnap 的 nas 就这么整的,还有域名别用 qnap 提供的
|
29
defv2er 2022-06-12 18:43:06 +08:00
最近我也被天天登录了,NGINX 里面过滤一下就好,我直接加了个 accept language 就清净了
|
30
wonderblank 2022-06-12 19:28:18 +08:00
1. 改 ssh 端口
2. 只接收 key 登陆 3. fail2ban 或者 sshguard 以上只要做到两点,基本就不会出问题。 我是全部都做,工作 9 年,从未出现过类似问题。 |
31
codehz 2022-06-12 23:17:42 +08:00 via iPhone
不开端口
用 cf Argo tunnel 配置 cf 侧的 access ,然后就几乎没有访问日志了 |
32
showgood163 2022-06-12 23:23:15 +08:00
|
33
TsukiMori 2022-06-14 01:27:31 +08:00 via Android
我压根就没给路由器防火墙放出 Nginx 和 p2p 软件之外的端口
|
34
mrzx 2022-08-24 14:46:22 +08:00
drop 分 2 种,一种是直接丢弃,一种是我丢弃了,但我还要告诉你,我丢弃你的报文了。。
你要分清楚。 前者明显更适合。这就叫温和。 此外设时间,同一个 IP ,在 1 秒钟之内最后尝试连接一次,超过则需要等 5 分钟。 |