防扫描配置与弱口令利用，检测和防御

不同服务都有一些具有各自服务特色弱口令，有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空；FTP根据其工具不同而具体机组默认账号密码，如“账号：ftp 密码 ftp”、“账号 anonymous 密码 anonymous/空”。

因此我们在检测一个服务的弱口令时，也可以尝试手工，用比较常见的账号密码进行服务登录尝试。比如：123456、abc123、111111等。

下面给出一份简化的快速字典

1.弱口令是所有安全漏洞中形成原理最简单的一类漏洞。

由于弱口令更多是因为人们的安全意识淡薄、安全管理缺失造成的，那我们如何设置一个不弱的密码呢？

（1）用户密码长度在8位以上、由字母、数字、特殊符号混合构成；

（2）不使用与个人资料相关信息。例如用户名、姓名（拼音名称、英文名称）、生日、电话号、身份证号码以及其他系统已使用的密码等；

（3）避免使用连续或相同的数字字母组合；

（4）不使用字典中完整单词。

2.对于口令攻击，除了使用强密码之外，还需要采取一些措施来防止受到密码攻击。一般来讲，在应用层面的应对措施是在登录的过程中使用验证码，如图形验证码。

3.在系统层面最常用的方法就是登录限制。因为口令攻击会造成大量的失败登录尝试，因此我们只需要限制登录此就可以在一定程度上限制口令攻击。下面分别windows和linux两个操作系统进行说明。

（1）windows

账户锁定时间：
此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。 可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0， 帐户将一直被锁定直到管理员明确解除对它的锁定。

账户锁定阈值：
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。 在管理员重置锁定帐户或帐户锁定时间期满之前， 无法使用该锁定帐户。 可以将登录尝试失败次数设置为介于 0 和 999之间的值。 如果将值设置为 0， 则永远不会锁定帐户。

重置账户锁定计数器：
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。 可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值， 此重置时间必须小于或等于帐户锁定时间。
我们若把账户锁定阈值设置为5， 账户锁定时间定为10分钟， 而重置账户锁定计数器设置为10分钟。 这些设置则表示5次失败登录就会锁定此账户10分钟。

（2）Linux

将文件修改如下，失败3次后锁定登录5分钟

通过系统PAM的原理实现

4.其他防护措施

（1）禁止ROOT通过远程登录

vi/etc/ssh/sshd_config,找到PermitRootLogin,将后面yes改为no，去掉注释，root便不能远程登录。

（2）限制用户ssh访问

向sshd_config文件中添加，AllowUsers root user1 user2

（3）配置空闲超时退出时间间隔

向sshd_config文件 添加

ClientAliveInterval 600

ClientAliveCountMax 0
（4）限制只有某一个IP才能远程登录服务器

vi /etc/hosts.deny #在其中加入sshd:ALL

vi /etc/hosts.allow #在其中进行如下设置：sshd:192.168.1.1 #(只允许192.168.1.1这个IP远程登录服务器)

最后重启ssh服务：/etc/init.d/sshd restart