Linux 怎么知道自己端口是否被人狂扫描?

2020-02-11 11:17:06 +08:00
 hijoker
我只知道在 ubuntu 有个 var/log/auth.log 是查看登陆失败, centos 是 /var/logsecure

除了不使用应用的默认端口外还有其他什么好的策略么?
7828 次点击
所在节点    Linux
14 条回复
opengps
2020-02-11 11:21:05 +08:00
堡垒机,VNC 远程,防火墙 IP 白名单等
外加非常规端口,非常规账号名
akira
2020-02-11 12:22:27 +08:00
改端口 + 密钥
Nitroethane
2020-02-11 12:33:40 +08:00
装个 suricata,enable 几个规则集,然后把规则集里跟 nmap 相关的规则取消注释,最后让 suricata 跑起来,看日志就行。
不过应该还有一种更简单的方法,就是只需开启 iptables 的日志功能就 ok
easylee
2020-02-11 12:37:20 +08:00
一楼提到的 IP 白名单就很不错,基本够应付了。
darknoll
2020-02-11 12:49:34 +08:00
这个不清楚,不过我只用公钥认证登录。
snoopygao
2020-02-11 13:21:47 +08:00
tcpdump port 22 and host not x.x.x.x(the ip address where you login)
snoopygao
2020-02-11 13:22:55 +08:00
wanguorui123
2020-02-11 13:25:16 +08:00
每天都有肉鸡狂扫我服务器的端口,我通过路由器入站日志发现的。除了关闭不必要的端口,提高密码安全性,IP 白名单,修改默认端口,定期升级软件,添加一定的身份认证门槛外好像没什么别的方法了。
LokiSharp
2020-02-11 13:36:06 +08:00
端口只开了 22,80,443 扫就扫了,无所谓
tankren
2020-02-11 14:10:08 +08:00
fail2ban
xuboying
2020-02-11 14:58:07 +08:00
两步认证。不想改系统服务的话可以拉一个 container,用 container 接管 ssh 服务接入。
izoabr
2020-02-11 15:55:34 +08:00
或者装个 snort
ps1aniuge
2020-02-12 14:25:56 +08:00
powershell 版 ssh-denyhost
ps1 下载:
https://pan.baidu.com/s/16deKKe3ZnCg809lffiVZWg
yimimi
2020-02-13 10:38:06 +08:00
利用 iptables 防火墙记录 drop 的日志你就知道有没有人在扫描你的服务器了,我就是这么做的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/643666

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX