【晒方案,赢千元大奖】简简单单主机防暴力破解(Windows Linux)

2014年06月04日 550点热度 0人点赞 0条评论

【晒方案,赢千元大奖】简简单单主机防暴力破解(Windows Linux)

腾讯云安全征文,保留期至2014-06-15,

PS:20140608 已经在3楼更新 Windows 2008 R2 防暴力破解补充方案(基于TeamViewer软件)
PS:20140610 已经在12楼更新 Linux 随机密钥登陆 (基于Google Authenticator )

目录:

第1页 Windows Server 2008 R2 防暴力破解
第2页 Linux 防暴力破解
第3页 Windows 2008 R2 防暴力破解补充方案(基于TeamViewer软件)
第4页 Linux 随机密钥登陆 (基于Google Authenticator )

本文提供的都是能快速设置而且难度比较低的办法,而且安全防护上一点也没有削弱,尽量给新手用户提供简单易用的安全防护方案.

在开通云主机以后,请务必前往云安全页面免费开通云安全防护,
腾讯云提供包括DDoS防护、DNS劫持检测、后门木马检测、暴力破解告警、异地登录提醒、入侵检测、漏洞扫描、
服务器登录流水查询、组件状态查询等全方位的安全防护保护。

需求软件:
1.印象笔记 用于存储记录一些临时安全信息,也可以用记事本记录
2.MultiDesk 绿色版远程桌面连接软件,保存连接数据,方便以后链接无需重输帐号密码
3.服务器安全狗 更改远程端口,设置访问规则
4.花生壳 动态域名解析,获得免费域名,用于认证链接远程桌面,请下载6.0版本
5.Xshell-官方下载 Xshell-华军下载 自带中文,用于连接管理Linux服务器,可将配置文件保存在单独目录,方便重装使用.
6.EditPlus 请百度或者google以后下载烈火汉化版即可,用于编辑sh脚本文件.

Windows Server 2008 R2 防暴力破解

1.生成复杂密码,做好安全基础第1步

腾讯云主机的win系统只提供Windows Server2008 R2 64位一个版本,2008R2相比2003在安全上提升了很多,
可以直接开启SSL加密传输,防止远程桌面被侦听监控.
无论是对于WIN还是Linux,使用复杂密码都是最标准的安全防护方案.

打开百度,搜索"密码生成器",点击第一个应用,来生成一个16位或者更多的复杂密码.

火狐截图_2014-06-04T07-15-48.055Z.png

在远程主机上计算机右键-管理-本地用户和组-用户-点用户名右键-修改密码,将前面生成的密码填入进去,确定即可。

winpass.jpg

点击开始-管理工具-远程桌面服务-远程桌面会话主机配置-连接下方的RDP-Tcp右键-属性-将安全性修改为SSL(TLS1.0)-加密级别修改为符合 FIPS 标准,然后确定.

dssl.jpg

2.更改远程端口,安全防护第2步

更改远程桌面端口前请关闭防火墙或者将需要的端口加入防火墙规则中.
下载服务器安全狗4.1版本进行安装,安装完毕以后运行软件.
安全狗界面点击主动防御-远程桌面保护-将远程登录端口修改为一个任意五位数,范围(1-65535)-保存,然后重启计算机即可。

d1.jpg

3.开启终端认证,只允许指定计算机名或者指定域名连接远程桌面,将暴力猜解消灭在萌芽状态

安全狗-主动防御-远程桌面保护-终端认证方式修改为IP或者域名认证-然后在下方添加白名单IP或者域名即可,点击右上角的已关闭开启5分钟测试,如果测试没有问题,就可以设置为永久有效了。

如果用于远程登录服务器的计算机,使用动态IP分配方式连网,则建议使用“花生壳”等IP固定工具将动态IP与域名绑定。(花生壳是一个动态解析软件,这类软件可以把所有的动态ip(当然一次也只能是一个)解析成一个固定的域名,这样不管计算机的IP怎么变,它所对应的域名都是一样的。)动态IP绑定流程如下:
1) 访问花生壳官方网站:http://hsk.oray.com/download/页面下载花生壳安装程序;
2) 安装花生壳安装程序,建议下载6.0版本;
3) 使用花生壳申请域名http://hsk.oray.com/domain/
注:此处申请的域名,解析之后的地址,是用来进行远程桌面连接的电脑的IP地址,而不是服务器地址,也不是网站域名。
例如我们申请到的: txtest.wicp.net

d2.jpg

这样设置完毕以后,如果非法链接服务器,就会直接报错中断链接,这样别人无法连接服务器,也就无法暴力猜解密码了。

d3.jpg

Windows 2008 R2 防暴力破解补充方案(基于TeamViewer软件)

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制,桌面共享和文件传输的简单且快速的解决方案。
为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接。

我们选择在服务器安装的是无人值守版本,本教程所有步骤必须看仔细,操作必须细心,一旦设置错误,只能重装..

1.生成复杂密码,做好安全基础第1步

无论采用什么方案,首要一步就是生成一个安全的复杂密码.

打开百度,搜索"密码生成器",点击第一个应用,来生成一个16位或者更多的复杂密码.

火狐截图_2014-06-04T07-15-48.055Z.png

在远程主机上计算机右键-管理-本地用户和组-用户-点用户名右键-修改密码,将前面生成的密码填入进去,确定即可。

winpass.jpg

2.下载TeamViewer Host 无人值守客户端安装

TeamViewer Host 是一个去除了控制端功能的简化版本,它的用途就是将电脑设置为一个可供其他人随时进行连接的服务器端系统。
我们在服务器安装这个版本以后会自动注册为系统服务,自动启动。

前往官方下载TeamViewer_Host_Setup.exe

下载完毕以后双击进行安装:

setuphost1.jpg

接受许可协议

setuphost2.jpg

安装完毕以后,自动启动无人值守设置

host1.jpg

设置第一步:计算机名称任意填写,建议写一个容易记住的名字,例如我们的机器在腾讯广州节点,可以设置为:腾讯广州A1_2008R2,
下面设置的密码为TeamViewer客户端连接认证密码TeamViewer客户端连接到这台机器需要输入认证密码,才能进行控制.

host2.jpg

设置第二步:这里如果已经有TeamViewer帐号请输入,如果没有必须创建一个TeamViewer帐号,以后用来登录客户端远程控制服务器。

host3.jpg

设置完毕以后点击完成即可,设置以后无论防火墙是否启用,最好检查下TeamViewer是不是在允许列表内.

host4.jpg

防火墙设置:开始-控制面板-windows 防火墙-允许程序或功能通过Windows防火墙-找到TeamViewer Remote开头的2个程序,允许通过网络

f1.jpg

f2.jpg

3.下载TeamViewer客户端连接管理服务器

下载TeamViewer完整版TeamViewer_Setup_zhcn.exe

安装程序的时候请右键-以管理员身份运行,请注意选择个人/非商业用途才能免费使用,点接受-完成以后自动安装。

s1.jpg

安装完毕以后会弹出以下窗口,点击右下角关闭即可..

s2.jpg

输入注册的TeamViewer账号和密码登录

s3.jpg

登录以后就能看到我们的机器了

s4.jpg

双击机器名自动连接到远程服务器,输入我们设置的TeamViewer连接密码,点击登录,

c0.jpg

稍后将会自动连接到服务器,看到服务器登陆界面,点击右上方Ctrl+Alt+Del 按钮,

c1.jpg

选择需要登录的账户,点击账户以后输入该服务器账户密码

c2.jpg

登录以后我们就看到服务器桌面了。
c3.jpg

确认TeamViewer有效以后,请重启服务器,然后用TeamViewer客户端看连接是否有效,是否能自动启动服务。

TeamViewer在服务器重启以后连接没有问题的话,我们就可以关闭Windows自带的远程桌面了,

关闭以后别人就无法连接到服务器了,也就无法暴力猜解服务器密码了。

计算机-右键属性-远程设置-远程桌面-不允许连接到这台计算机

33891.jpg

33892.jpg

设置完毕以后,只能用TeamViewer链接管理服务器,TeamViewer账户和TeamViewer连接验证密码双重保护,安全更上一层楼!

4.TeamViewer客户端开启双重验证,固若金汤(可选操作,需要使用手机+谷歌身份验证器)

谷歌身份验证器在各大软件市场均提供下载,搜索 谷歌验证器 或者 Google Authenticator 即可

登陆官网账户:https://login.teamviewer.com/nav/dialog/profile

选择 双重验证-启用

tf1.jpg

启动激活

tf2.jpg

用手机上的 谷歌身份验证器菜单-设置账户-扫描条形码) 扫描二维码,然后点击下一步

tf3.jpg

输入手机上的谷歌验证器生成的6位数验证码,验证安全配置是否正确,正确以后点击启用

tf4.jpg

正确启用以后,将会给用户提供一个紧急备用代码必须牢记,用于无法使用谷歌验证器的情况下解除双重验证.

tf5.jpg

设置完毕以后,如果我们用TeamViewer对服务器进行管理,输入TeamViewer账户密码进行登录以后,还需要手机生成的验证码才可以登录。
这样设置以后,TeamViewer账户密码+手机验证码+TeamViewer连接认证密码+服务器账户密码多重验证进行高强度的安全防护,让暴力破解无路可走.

tf6.jpg

imnpc

保持饥渴的专注,追求最佳的品质

文章评论