V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
hijoker
V2EX  ›  Linux

Linux 怎么知道自己端口是否被人狂扫描?

  •  
  •   hijoker · 2020-02-11 11:17:06 +08:00 · 7829 次点击
    这是一个创建于 1748 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我只知道在 ubuntu 有个 var/log/auth.log 是查看登陆失败, centos 是 /var/logsecure

    除了不使用应用的默认端口外还有其他什么好的策略么?
    第 1 条附言  ·  2020-02-13 12:43:43 +08:00
    嗯,这个是要提供对外 http 服务的机器,不是内部使用的,ip 白名单之类和 iptables deny 之类的不行.
    我只是想知道怎么记录被扫描, 因为有的只是扫描而不尝试登陆
    14 条回复    2020-02-13 10:38:06 +08:00
    opengps
        1
    opengps  
       2020-02-11 11:21:05 +08:00
    堡垒机,VNC 远程,防火墙 IP 白名单等
    外加非常规端口,非常规账号名
    akira
        2
    akira  
       2020-02-11 12:22:27 +08:00
    改端口 + 密钥
    Nitroethane
        3
    Nitroethane  
       2020-02-11 12:33:40 +08:00 via iPhone
    装个 suricata,enable 几个规则集,然后把规则集里跟 nmap 相关的规则取消注释,最后让 suricata 跑起来,看日志就行。
    不过应该还有一种更简单的方法,就是只需开启 iptables 的日志功能就 ok
    easylee
        4
    easylee  
       2020-02-11 12:37:20 +08:00
    一楼提到的 IP 白名单就很不错,基本够应付了。
    darknoll
        5
    darknoll  
       2020-02-11 12:49:34 +08:00
    这个不清楚,不过我只用公钥认证登录。
    snoopygao
        6
    snoopygao  
       2020-02-11 13:21:47 +08:00
    tcpdump port 22 and host not x.x.x.x(the ip address where you login)
    snoopygao
        7
    snoopygao  
       2020-02-11 13:22:55 +08:00
    wanguorui123
        8
    wanguorui123  
       2020-02-11 13:25:16 +08:00
    每天都有肉鸡狂扫我服务器的端口,我通过路由器入站日志发现的。除了关闭不必要的端口,提高密码安全性,IP 白名单,修改默认端口,定期升级软件,添加一定的身份认证门槛外好像没什么别的方法了。
    LokiSharp
        9
    LokiSharp  
       2020-02-11 13:36:06 +08:00
    端口只开了 22,80,443 扫就扫了,无所谓
    tankren
        10
    tankren  
       2020-02-11 14:10:08 +08:00
    fail2ban
    xuboying
        11
    xuboying  
       2020-02-11 14:58:07 +08:00
    两步认证。不想改系统服务的话可以拉一个 container,用 container 接管 ssh 服务接入。
    izoabr
        12
    izoabr  
       2020-02-11 15:55:34 +08:00
    或者装个 snort
    ps1aniuge
        13
    ps1aniuge  
       2020-02-12 14:25:56 +08:00
    powershell 版 ssh-denyhost
    ps1 下载:
    https://pan.baidu.com/s/16deKKe3ZnCg809lffiVZWg
    yimimi
        14
    yimimi  
       2020-02-13 10:38:06 +08:00
    利用 iptables 防火墙记录 drop 的日志你就知道有没有人在扫描你的服务器了,我就是这么做的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2713 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:10 · PVG 12:10 · LAX 20:10 · JFK 23:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.