前言
我开发了一套开源,免费,跨平台的devops脚本批量运维工具。【kaiiit家的饭店】是软件的正式名字。【卡死你3000】是第一版开发代号。
想要增强win被控机密码安全。可以免费使用《卡死你3000》批量修改被控机密码 https://www.cnblogs.com/piapia/p/14251763.html
想要增强winrm被控机安全。可以免费使用我开发的winrm黑名单脚本。 https://www.cnblogs.com/piapia/p/10922513.html
想要增强open sshd被控机安全。可以免费使用我开发的ssh-deny-host黑名单脚本。 【bkj_linux_deny-sshhost4.ps1】
随着信息技术的发展,网络服务器安全,面临着诸多更严峻挑战。
为了更好的保护服务器,我开发了用《动态端口增强winrm被控机,open sshd的,服务器安全》的方案和脚本。
脚本是收费的。winrm版50元,open sshd版20元。可以加入,卡死你官方qq群=700816263,找群主购买。这里主要介绍方案的原理。
正文
问:为什么要用动态端口?使用场景是啥?
答:
1 用《卡死你3000》批量修改被控机密码,会把被控机密码改成16位随机数,每台被控机不同。密码记不住,很多人不喜欢这么用。
2 用winrm,sshd黑名单技术,实际上不错。但是固定端口容易被ddos,攻击。很多人不想这么用。
3 云计算,可以开放固定端口。但若想用命令动态打开安全组端口,用完,动态关闭,并不容易。
需要点击网页,建立账户,设定aksk。对批量运维尤其麻烦。
4 用动态端口,还可以防止中间人阻断tcp长期,大流量连接的攻击。
5 堡垒机上,建议使用动态端口,比黑名单好。
功能和原理:
分为主控机脚本1个,被控机脚本1个,系统运行库n个。
被控机1---8分钟随机更换winrm端口;
被控机1---8分钟随机更换win,linux版open sshd被控机端口。
当然,被控机更换端口后,主控机连接将被断开。此时重新运行主控机脚本,算出新的被控机端口,继而用新端口连接即可。
也就是说,服务器每次变更端口,数据连接就会中断。
这对于从主控机向被控机快速提交的命令,没啥影响。
但是对于大文件传输,是有影响的。
对于linux2linux使用rsync;
对于win2linux,就要用卡死你3000项目中免费的【k_rsync_winfromlinux.ps1】,【k_rsync_wintolinux.ps1】
端口随机库:
主控机,被控机,必须使用同一套随机库。这个库,可以用本方案内的脚本产生。
批量:
对于一客户机,对多服务器。若【使用同一套随机库】。则在同一时间,被控机端口相同。
使用多套随机库,即可使同一时间,客户机到每台服务器的动态端口都不同。
卡死你3000适配:
脚本库,默认是独立使用的,和卡死你3000无关。只和一个客户机,一个服务器有关。
若想适配卡死你3000的nodelist.csv,需要通过动态端口插件,来实现。付费。
谢谢观看。