弱口令漏洞描述

弱口令的漏洞的存在很大原因上是因為使用者的不良使用習慣導致的，當然也有一些是因為系統或者應用啟用時未設置可用賬戶的密碼信息而使用默認的配置；這就給攻擊者毫不費力攻進信息系統的機會了。

一旦信息系統存在弱口令漏洞，并且該系統可以從公網上訪問(不論是直接訪問，還是在內網中需要跳板機的連接)，那么攻擊者就可以使用自己收集整理來的密碼字典，暴力猜解可用賬戶的密碼信息，進而該信息系統被攻擊者控制、使用，造成敏感信息的泄露、計算機資產被盜用等等嚴重危害。

因此，最簡單的且最有效的防御措施：定、短期更換信息系統的賬號密碼信息，并且保證賬號為不常用的賬號(例如admin、manager、admin1、Admin、administrator、root)、密碼長度至少為8位、種類至少三種字符(例如：!234Qwer)。

為了萬無一失(盡可能做到)，防止攻擊者使用密碼字典暴力猜解登錄信息，還可以使用白名單的方式限制可以遠程登錄信息系統的主機、設置可用賬戶的的錯誤登錄次數、態勢感知攻擊者的攻擊行為封堵ip等等方式。下面就從設置遠程管理登錄的配置信息的角度(以21、22、23、3306、3389為例)分享下怎么減少弱口令漏洞對信息系統的影響。

遠程管理登錄的配置方法

01

21 ftp服務的遠程登錄配置

以windows系統為例：

在windows中打開internet information services(iis)管理界面，可以看到ftp的配置選項。

iis中ftp的配置界面

在左上角的第一個功能選項ftp ip地址和域限制可以設置遠程登錄此ftp服務器的白名單，如此一來可以杜絕不被允許的主機連接此ftp服務器了，從而杜絕攻擊者從外部的暴力猜解攻擊。

ftp ip地址和域限制

如果攻擊者進到內網，控制了一臺可以連接此ftp服務器的主機，那么可以配置ftp登錄嘗試限制；此功能可以限制客戶端登錄錯誤的次數，也可以防御攻擊者的暴力猜解攻擊，這些登錄行為都會被系統記錄到日志中，可以為管理員提供有跡可循。

ftp登錄嘗試限制

如果需要在ftp服務器前面放一臺防火墻設備，來隱藏真實的ftp服務器的端口，那么在ftp防火墻支持的配置中可以為ftp服務器搭建一個端口數據通道(也就是端口鏡像)。(只要防火墻的策略配置好，肯定是可以防攻擊者的暴力猜解弱口令的)

ftp防火墻支持

02

ssh服務的遠程登錄配置

ssh服務器端的配置信息在/etc/ssh/下的sshd_config文件(ssh_config為客戶端配置文件，一般用不到)

/etc/ssh

修改ssh的默認端口，可有效防范常規、機器的攻擊；端口值的范圍在0-65535。

修改端口

修改ssh的一些連接設置，比如最多連接主機的數據、最長嘗試登錄時間、最大的嘗試登錄次數(錯誤登錄次數)

修改嘗試登錄的配置項

設置登錄時是否使用密碼、是否允許空密碼的用戶登錄，可以解決未授權用戶登錄的問題

解決未授權登錄的問題

03

23 telnet的遠程登錄配置

telnet服務一般應用在路由器(3層)、交換機(2層)等網絡設備中，如果存在弱口令漏洞則給攻擊者較容易的方式破壞信息系統的網絡建設，造成內部網絡的崩潰。針對此漏洞可能對信息系統的危害可以從設置簡單的acl(白名單)、更換密碼的復雜度和長度來防御攻擊者的攻擊。

在進到路由器的配置中，首先要切換到system權限下，新建一個acl，并指定該acl僅限制哪些主機可以連接路由器。

telnet訪問控制配置-設置acl

設置telnet的用戶的密碼

04

3306 mysql數據庫遠程登錄管理

以windows下的mysql v8.0.12為例：

在mysql安裝路徑下找到my.ini文件，該文件記錄了mysql數據庫的配置信息。

比如修改數據庫的默認端口，使其不運行在默認的3306端口上。

port=3306

修改mysql數據庫的一些用戶的密碼的配置，則可以在數據庫中直接更新user表中的用戶的密碼的配置的字段值。比如，用戶的密碼值(authentication string)、密碼過期時間(password_lifetime,password_expired)、最大的連接數(max_connections,max_user_connections)、禁用賬號(account_locked)。(或者是使用其他方式也是可以的)

修改表中字段值的方法是：

update user set authentication_string=password(‘123456’) where user=’root’;(更新表設置字段值當user為root)

對數據庫的用戶的權限做劃分，也可以有效的降低弱口令漏洞對數據庫的影響。

GRANT ALL PRIVILEGES ON *.* TO ‘root’@‘%’ IDENTIFIED BY ‘password’ WITH GRANT OPTION;(*.*表示所有表的所有權限，%表示所有的主機都可以使用root連接)

設置數據庫的其他參數，比如在配置中修改密碼的一些參數。

05

389 RDP服務的遠程登錄配置

以windows 7為例：

針對3389 windows平臺的RDP服務，弱口令漏洞存在一般跟windows中的系統用戶有關，那么可以修改系統中的用戶的配置來避免此漏洞對計算機系統的影響。

使用gpedit.msc本地組策略編輯器來管理用戶的一些策略設置，在運行中打開此程序。

?gpedit.msc

本地組策略編輯器運行界面

在密碼策略中修改策略可以強制用戶定期的管理自己密碼，并且符合日常使用的規范、防范攻擊者的暴力猜解。

?

賬戶鎖定策略

通過以上的配置密碼策略和無效登錄的次數，那么在終端防護弱口令的攻擊，基本上可以做到七八成的防護了。如果根據實際需求還需保障合法主機的任意登錄，那么可以在鏈路上的硬件防火墻或者軟件版的防火墻中添加連接的白名單。

贈送：windows下修改用戶密碼的操作，在cmd中使用net user username password修改用戶的密碼

修改用戶密碼

總結

1

定期、短期的修改密碼為復雜且較長的字符是最高效的防范弱口令漏洞的方式

2

配置好信息系統中的使用賬戶的策略(如強制用戶定期更換密碼具有一定的復雜性和長度、對信息系統中的賬戶做最小權限的劃分、限制連接的主機數量、綁定可連接主機的ip/mac地址(白名單策略)、限制錯誤登錄次數)，將會降低攻擊者暴力猜解的成功率和弱口令漏洞對信息系統的影響

3

配置好鏈路上的硬件防火墻、態勢感知設備、日志審計設備以及終端防護軟件(如殺毒軟件、防護軟件(edr))并將它們啟用，建立起聯動機制，某一防護節點發現攻擊行為，及時封堵ip地址，截斷攻擊流量，才能做好信息系統的安全防護，不僅僅是針對弱口令的漏洞。

點擊上方“藍字”關注我們吧！

總結

以上是生活随笔為你收集整理的cmd 220 ftp 远程主机关闭连接_针对一些弱口令漏洞的解决办法——设置远程管理登录的配置...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。