用动态端口,增强winrm,open sshd的,服务器安全
前言
我开发了一套开源,免费,跨平台的devops脚本批量运维工具。【kaiiit家的饭店】是软件的正式名字。【卡死你3000】是第一版开发代号。
想要增强win被控机密码安全。可以免费使用《卡死你3000》批量修改被控机密码 https://www.cnblogs.com/piapia/p/14251763.html
想要增强winrm被控机安全。可以免费使用我开发的winrm黑名单脚本。 https://www.cnblogs.com/piapia/p/10922513.html
想要增强open sshd被控机安全。可以免费使用我开发的ssh-deny-host黑名单脚本。 【bkj_linux_deny-sshhost4.ps1】
随着信息技术的发展,网络服务器安全,面临着诸多更严峻挑战。
为了更好的保护服务器,我开发了用《动态端口增强winrm被控机,open sshd的,服务器安全》的方案和脚本。
脚本是收费的。winrm版50元,open sshd版20元。可以加入,卡死你官方qq群=700816263,找群主购买。这里主要介绍方案的原理。
正文
问:为什么要用动态端口?使用场景是啥?
答:
1 用《卡死你3000》批量修改被控机密码,会把被控机密码改成16位随机数,每台被控机不同。密码记不住,很多人不喜欢这么用。
2 用winrm,sshd黑名单技术,实际上不错。但是固定端口容易被ddos,攻击。很多人不想这么用。
3 云计算,可以开放固定端口。但若想用命令动态打开安全组端口,用完,动态关闭,并不容易。
需要点击网页,建立账户,设定aksk。对批量运维尤其麻烦。
4 用动态端口,还可以防止中间人阻断tcp长期,大流量连接的攻击。
5 堡垒机上,建议使用动态端口,比黑名单好。
功能和原理:
分为主控机脚本1个,被控机脚本1个,系统运行库n个。
被控机1---8分钟随机更换winrm端口;
被控机1---8分钟随机更换win,linux版open sshd被控机端口。
当然,被控机更换端口后,主控机连接将被断开。此时重新运行主控机脚本,算出新的被控机端口,继而用新端口连接即可。
也就是说,服务器每次变更端口,数据连接就会中断。
这对于从主控机向被控机快速提交的命令,没啥影响。
但是对于大文件传输,是有影响的。
对于linux2linux使用rsync;
对于win2linux,就要用卡死你3000项目中免费的【k_rsync_winfromlinux.ps1】,【k_rsync_wintolinux.ps1】
端口随机库:
主控机,被控机,必须使用同一套随机库。这个库,可以用本方案内的脚本产生。
批量:
对于一客户机,对多服务器。若【使用同一套随机库】。则在同一时间,被控机端口相同。
使用多套随机库,即可使同一时间,客户机到每台服务器的动态端口都不同。
卡死你3000适配:
脚本库,默认是独立使用的,和卡死你3000无关。只和一个客户机,一个服务器有关。
若想适配卡死你3000的nodelist.csv,需要通过动态端口插件,来实现。付费。
谢谢观看。
posted on 2021-06-20 18:51 PowerShell免费软件 阅读(341) 评论(0) 编辑 收藏 举报
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· 周边上新:园子的第一款马克杯温暖上架
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试?测试工程师会被淘汰吗?
· 使用C#创建一个MCP客户端