暴露端口(ssh rdp)的弊端有哪些?

22 小时 35 分钟前
 NevadaLi

看到隔壁在说开了 22 端口被各种扫,还有 3389 的,即便改了端口也没什么用,照样被扫,还有可能一天上千次的尝试登录。

其实我很不理解,他扫归他扫,他试归他试,对用户有什么影响?即便尝试了几千万次,不知道你密码有什么用?反正都是登不上,何必要管他们,放着不就完了?有什么影响?

也看到过有人说被黑了的,但这些无一例外都是弱密码导致的,和端口暴不暴露、协议安不安全没任何关系。

至于说“如果哪天 rdp/ssh 出现了漏洞,那直接中招”这种想法,rdp/ssh 已经发展了几十年,相关技术已经足够成熟,除非你机器系统过于老旧仍然使用远古版本,试问,现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的?确实有很多的高危漏洞在不断被暴出来,我们公司也会要求升级 openssh 版本,但先不说这些漏洞的使用都是有前置条件的,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。

如果希望纯利用漏洞来登录一台机器,往往需要多个漏洞相互配合。这么复杂的攻击显然不是扫端口这种广撒网的方式能成功的,这种程度已经是针对性攻击了。比如交易所/加密钱包被攻破被盗,这是已经被盯上了,大概率使用了人性的漏洞(钓鱼,弱密码,不安全的存储/传输方式,撞库),而不是安全协议本身有问题,包括各种远程访问协议,传输协议等,这些社工方式不在本帖考虑范围内。

对于 nfs, samba, ftp, telnet 这些东西,nfs 和 smb 本来就是内网用的,不应该暴露公网(即便如此,smb v3 和 nfs v4 都有加密协议); ftp 和 telnet 上古产物不考虑。至于其他的,比如宝塔面板,xx 面板出现大规模漏洞,这是第三方软件的事情,和 ssh rdp 本身无关。

以上只说 ssh 和 rdp ,只是感觉这俩东西足够安全(你的密码本身没有问题),完全不需要做其他额外的防护。

所以,请告诉我暴露这些端口的弊端有哪些?

1142 次点击
所在节点    问与答
31 条回复
adoal
22 小时 28 分钟前
我自己管理的服务器从来不封或者改管理端口。但是遇到法人单位的中心机房在网关设备上封 22 和 3389 的,因为,各下属二级业务单位的信息化共用机房,我能把这些管理端口上的安全配置做好,但跟我用同一个机房甚至同一个网段服务器的其它单位,往往是没有技术部门的,负责信息化的是综合办公室里一个文科出身的副主任或者普通科员,一切都靠技术能力浮动范围很大的业务系统开发厂家来搞。然后导致很多 root 弱密码进入。所以管理部门一刀切了,我也没办法。
uuair
21 小时 7 分钟前
我自己碰到的问题是日志增加的太快了,要是限制日志容量,那么可能会错过有用的信息。
而且,谁说自己的密码肯定没问题呢?你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊,不可能每时每刻都打补丁吧,万一你就是那第一个被发现漏洞的机器呢?这就好比,你夜里 12 点会因为马路上没人而不穿衣服上街么?
ShinichiYao
21 小时 1 分钟前
主要是断了攻击者的念想,每天上万次来自世界各地的 IP 在盯着猜你的密码
yeqizhang
20 小时 57 分钟前
占个楼问些问题🐶
不懂网络这块,有没有大佬解惑下,就是换了端口,除了 ssh 这种会响应明显的信息外,其它一些 tcp 服务在换了端口后是怎样识别到是什么服务来攻击的呢?

还有个问题,就是我有个 web 服务,如果不公开 path ,别人是不是就没法请求到这个接口?
ysc3839
20 小时 57 分钟前
一般认为 VPN 服务漏洞没那么多,而且就算有漏洞被攻破了,还得通过 VPN 去扫描别的服务,再进行进一步攻击才能拿到权限。如果说 VPN 服务存在远程代码执行漏洞,也可以用低权限用户运行来防范(不过这个方案不适用于内核模式实现的 WireGuard),而 ssh rdp 之类的,因为涉及用户登录,只能以高权限运行。
jhytxy
20 小时 51 分钟前
前一阵不是 Debian 的 ssh 还出漏洞了你不知道?


这世界就是个草台班子
ysc3839
20 小时 47 分钟前
“现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的”
搜索 rdp rce 就能找到 https://www.cnblogs.com/backlion/p/11482322.html
NevadaLi
20 小时 31 分钟前
@uuair #2 日志还好吧,好几年也没上 GB

“而且,谁说自己的密码肯定没问题呢?”

想要确认自己的密码是否安全,chrome 就可以告诉你使用的密码是否有泄露。

“你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊”

请举例哪些是密码设置了很复杂,系统不是古董,但由于漏洞被拿到登录权限的?
NevadaLi
20 小时 18 分钟前
@jhytxy #6 请具体列出 CVE 号码。我们公司也因为漏洞而升级 openssh ,恰好上月就升过,也看了漏洞详情,但就像我说的,这些漏洞的使用都有前置条件,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。



@ysc3839 #7 这是 2019 年的漏洞,距离现在已经五六年了,对应 Windows 10 version 1909 ,该版本在 2021 年已经停止支持。如果现在还有人在用不受支持的 windows 远古版本,那我还能说啥?目前消费级系统里,受支持的系统为 Windows 11 version 23H2 ,如果你升级到了受支持的系统还有这漏洞,那当我什么都没说。

aminobody
19 小时 58 分钟前
我喜欢 rdp over ssh, ssh 仅密钥, rdp 弱密码, 仅在公网暴露 ssh 端口.
lambdaq
19 小时 51 分钟前
是这样的,没弊端。就好比如果你家里穷得一批,那么你锁不锁门无所谓的。


LZ 勇敢的向前冲。
uuair
19 小时 21 分钟前
@NevadaLi #8 请搜索:“3389 端口+输入法漏洞”
当年我用这个漏洞进入了无数台开了 3389 端口的机器,你还需要我免费提供劳动力给你证明么?这种案例太多了。
chouxw112233
19 小时 2 分钟前
4 楼的问题我也想知道
tcp 端口是可以被扫的,只需要尝试握手就行了。但是协议那么多,难道只尝试常用协议吗? 比如 smb ,rdp ,ssh ,tftp ,ftp ,telnet ,http? 还有,协议是协议,实现是实现,可能 nginx 的 http 漏洞,别的服务端不存在。黑客的流程难道是扫到 tcp 8081 ,然后尝试 http 去访问,htto 建立成功了就尝试 nginx 漏洞?
udp 是不是就安全许多?

path 这个我也不清楚,我开了一个 nginx 服务,指定 test.example.com 才有我的服务,黑客有技术能扫到吗?
yinmin
18 小时 32 分钟前
ssh 仅密钥登录(禁用密码模式),毕竟这么多大佬公司都用 ssh ,应该问题不大。如果还需要加一次保护,可以 ssh over tls(也能过某些变态防火墙)

rdp 不敢直接暴露公网,因为 rdp 曾经出现了几次 0day 漏洞。建议:
rdp over vpn
rdp over ssh
rdp over tls(双证书认证)
rdp over frp(stcp)
NevadaLi
18 小时 17 分钟前
@uuair #12

1. 和前段时间爆出的搜狗输入法 bug 类似,那是第三方软件的锅,和 rdp 有什么关系。

2. 那漏洞都多少年前了,用不在支持范围的系统能怪谁。。。
NevadaLi
18 小时 4 分钟前
@lambdaq #11 我的好多台机器,有 ssh 有 rdp ,默认配置,强密码,至少五六年了,从没有出过问题
ococnehc
17 小时 59 分钟前
@yeqizhang 其实和 ssh 密码字典类似,攻击脚本也有个类似与服务端口名单的表,里面填了比较常用的服务端口和对应的默认配置,然后用表里面的信息一个个试,所以只要你的端口不是默认配置,又没有任何常见回传,脚本没撞到,基本上是很安全的
ococnehc
17 小时 56 分钟前
@yinmin 公司很多还会再包一层跳板机
delacey
17 小时 54 分钟前
因为对安全的容忍度不一样,很多情况下大家需要更安全的 ssh
lambdaq
17 小时 32 分钟前
@NevadaLi 你的心态好,没问题

大多数人心态是怕贼惦记

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1094890

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX