电子密保口令如何服务器

在FTP服务器设置一个账号，但是，其口令则是当天有效，第二天就自动失效。如此的话，当客户或者供应商需要使用FTP服务器的话，只需要更改一些密码即可。而不需要每次使用的时候，去创建一个用户；用完后再把它删除。同时，也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患，因为口令会自动失效。
　大多数FTP服务器，如微软 *** 作系统自带的FTP服务器软件，都具有口令期限管理的功能。一般来说，对于临时的帐户，就可以跟帐户与口令的期限管理一起，来提高临时帐户的安全性。而对于内部用户来说，也可以通过期限管理，来督促员工提高密码更改的频率。

口令服务器错误。
这里不需要重装软件。只要点选开始，所有程序，CGTechvericut，license-Administration，指定口令服务器计算机，此时计算机会以记事本形式打开cgtenv-bat文件，在界面里的最后一行的等号后面就是口令服务器名，因为之前是默认的中文形式的“本地主机”，故我们需将它更改为英文形式的“localhost”或者本地计算机的计算机名并保存。
世界最强的数控模拟仿真，VERICUT是全世界NC验证软体的领导者，切削毛坯可以从一个机床任务移到另一个机床任务，同时能够自动定位。一旦用户选定了机床配置，毛坯、夹具和设计模型，这些资讯就和机床捆绑在一起了，接下来就可以类比整个加工过程。

由于FTP服务器常被用来做文件上传与下载的工具，所以，其安全的重要性就不同一般。因为若其被不法攻击者攻破的话，不但FTP服务器上的文件可能被破坏或者窃取；更重要的是，若它们在这些文件上下病毒、木马，则会给全部的FTP用户带来潜在的威胁。所以，保护FTP服务器的安全已经迫在眉睫。
而要保护FTP服务器，就要从保护其口令的安全做起。这里就谈谈常见的FTP服务器具有的一些口令安全策略，帮助大家一起来提高FTP服务器的安全性。
策略一：口令的期限
有时候，FTP服务器不仅会给员工用，而且还会临时给一个账号给外部的合作伙伴使用。如销售部门经常会因为一些文件比较大，无法通过电子邮件发送，需要通过FTP 服务器把文件传递给客户。所以，在客户或者供应商需要一些大文件的时候，就得给他们一个FTP服务器的临时帐号与密码。
现在的做法就是，在FTP服务器设置一个账号，但是，其口令则是当天有效，第二天就自动失效。如此的话，当客户或者供应商需要使用FTP服务器的话，只需要更改一些密码即可。而不需要每次使用的时候，去创建一个用户；用完后再把它删除。同时，也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患，因为口令会自动失效。
大多数FTP服务器，如微软 *** 作系统自带的FTP服务器软件，都具有口令期限管理的功能。一般来说，对于临时的帐户，就可以跟帐户与口令的期限管理一起，来提高临时帐户的安全性。而对于内部用户来说，也可以通过期限管理，来督促员工提高密码更改的频率。
策略二：口令必须符合复杂性规则
现在由不少银行，为了用户帐户的安全，进行了一些密码的复杂性认证。如诸如888888等形式的密码，已经不在被接受。从密码学上来说，这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具，如密码电子字典等等，非常轻松的进行破解。
故为了提高口令本身的安全性，最简单的就是提高密码的复杂程度。在FTP服务器中，可以通过口令复杂性规则，强制用户采用一些安全级别比较高的口令。具体的来说，可以进行如下的复杂性规则设定。
1、不能以纯数字或者纯字符作为密码
若黑客想破解一个FTP服务器的帐号，其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码，一个是纯数字组成的，另外一个是数字与字符的结合。如分别为82372182与32dwl98s这两个密码看起来差不多，可是对与密码破解工具来说，就相差很大。前面这个纯数字的密码，通过一些先进的密码破解工具，可能只需要24个小时就可以破解；可是，对于后面这个字母与数字结合的密码，则其破解就需要2400个小时，甚至更多。其破解难度比原先那个起码增加了100倍。
可见，字符与数字结合的口令，其安全程度是相当高的。为此，我们可以在FTP服务器上进行设置，让其不接受纯数字或者纯字符的口令设置。
2、口令不能与用户名相同
其实，我们都知道，很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同，则是FTP服务器最不安全的因素之一。
很多用户，包括网络管理员，为了容易记忆与管理，他们喜欢把密码跟用户名设置为一样。这虽然方便了使用，但是，很明显这是一个非常不安全的 *** 作。根据密码攻击字典的设计思路，其首先会检查FTP服务器其帐户的密码是否为空；若不为空，则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话，则其再尝试其他可能的密码构成。
所以，在黑客眼中，若口令跟用户名相同，则相当于没有设置口令。为此，在FTP服务器的口令安全策略中，也要把禁止口令与密码一致这个原则强制的进行实现。
3、密码长度的要求
虽然说口令的安全跟密码的长度不成正比，但是，一般来说，口令长总比短好。如对于随机密码来说，破解7位的口令要比破解5位的口令难度增加几十倍，虽然说，其口令长度只是增加了两位。
策略三：口令历史纪录
为了提高FTP服务器的安全，则为用户指定一个不能重复口令的时间间隔，这也是非常必要的。如FTP服务器中有一个文件夹，是专门用来存放客户的订单信息，这方便相关人员在出差的时候，可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话，则企业可能会失去大量的订单，从而给企业带来致命的影响。
所以，对于存放了这么敏感资料的FTP服务器，在安全性方面是不敢小视。为此，就启用了口令历史纪录功能。根据这个策略，用户必须每隔一个星期更改一次FTP服务器密码。同时，用户在60天之内，不能够重复使用这个密码。也就是说，启用了口令历史纪录功能之后，FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话，则服务器就会拒绝用户的密码更改申请。
可见，口令历史纪录功能可以在一定程度上提高FTP服务器口令的安全性。
策略四：账户锁定策略
从理论上来说，再复杂的密码，也有被电子字典攻破的可能。为此，我们除了要采用以上这些策略外，还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。
帐户锁定策略是指当一个用户超过了指定的失败登陆次数时，服务器就会自动的锁定这个帐号，并向管理员发出警告。通过这个策略，当不法人士试图尝试不同的口令登陆FTP服务器时，由于其最多只能够尝试三次（假如管理员设置失败的登陆次数最多为3），则这个帐号就会被锁定。这就会让他们的密码攻击无效。
在采用帐户锁定策略时，需要注意几个方面的内容。
一是采用手工解禁还是自动解禁。若采用手工解禁的话，则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话，则当帐户锁住满一定期限的时候，服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话，则建议采用手工解禁的方式比较好。
二是错误登陆的次数设置。若这个次数设置的太多，不能够起到保护的作用。若设置的太少的话，则用户可能因为疏忽密码输入错误，而触发帐户锁定，从而给服务器管理员凭空增加不少的工作量。为此，一般可以把这个次数设置为三到五次。这既可以保证安全性的需要，而且也给用户密码输入错误提供了一定的机会。
三是遇到帐户锁定情况时，要能够自动向服务器管理员发出警报。因为作为FTP服务器来说，其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以，当出现帐户锁定的情况时，服务器要能够向管理员发出警报，让其判断是否存在恶意攻击。若存在的话，则就需采取相应的措施来避免这种情况的再次发生。
通过以上四种策略，基本上可以保障FTP服务器口令的安全。

在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器，不信请看该日志文件大小du -sh `ls /var/log | grep btmp，该文件存储了ssh失败登陆的记录。文件越大/增长越快，说明你的服务器处于被别人暴力破解的危险中！为了避免这种危险，必须做好两点：

1 修改SSH默认端口，

2 使用强口令密码，不想看胡扯的请直接跳到后面。

整个网络空间中其实存在着很多弱口令服务器，假设弱口令服务器的用户名都为root、密码都为123456、SSH登陆端口都为默认的22。我有一台服务器在不停的用密码字典登陆这些弱口令机器，成功登陆的机器作为肉鸡（傀儡）继续登陆别的机器，假设一台服务器以2台/天的速度进行登陆，那么第一天我就有三台机器（包括自己的那台），第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到没有，肉鸡/傀儡服务器是以指数级别在增加的！

为什么有人不停登陆别人的机器，获得肉鸡？如果我手上有来自全世界的肉鸡，并且数量很多，那玩儿法可就多了：

看不惯哪个网站？ *** 纵这些傀儡机器不停的请求该网站，让别人没法用，服务瘫痪，这就是传说中的DDoS攻击（分布式拒绝服务攻击）。

想赚点小钱，偷偷挖矿是你不二的选择，这么多肉鸡，虽然每一台计算能力不怎么样，但是联合起来也不容小。这种肉鸡俗称挖掘鸡（笑

肉鸡做代理？这个话题我就不深说了，大陆敏感话题… …

窥探肉鸡主人数据… 满足窥探欲

这么多肉鸡代表你有这么多IP，有大量IP能干什么？这又是另外一个庞大的话题了… …

一、基础知识

/var/log/wtmp用于记录登录成功的用户的信息，是一个二进制文件，只能通过 last命令来查看

查看尝试恶意登陆的前十个IP:

查看恶意IP尝试登陆次数:

当然，如果你要清理这个日志，删除在创建之

/var/log/btmp用于记录登录失败的用户的信息，是一个二进制文件，只能通过 lastb命令来查看

/var/log/lastlog用于记录用户的 历史 登录情况，是一个二进制文件，只能通过 lastlog命令来查看

/var/run/utmp用于记录当前登录的用户的信息，是一个二进制文件，只能通过 who命令来查看

二、修改SSH默认端口

环境：CentOS 7

步骤：新增SSH端口–>>重启sshd服务–>>添加防火墙规则–>>尝试新端口登陆–>>关闭原先的22端口

1、新增SSH端口（列：1000）

vi /etc/ssh/sshd_config

# 找到Port 22这行，将前面的注释去掉，再加一行Port 1000，如下，这样做的目的是防止新端口登陆不上，老端口也不能用！

2、重启sshd服务

如果是CentOS 7使用systemctl restart sshd，查看端口是否生效可以用systemctl status sshd

如果是CentOS 7以前的系统，使用/etc/initd/sshd restart或者service sshd restart

重启以后可以本地测试一下端口通没通，telnet 127001 1000

3、添加防火墙规则

如果是iptables防火墙，执行下面命令添加规则

# iptables配置文件位置/etc/sysconfig/iptables

# 添加1000端口规则

# 保存规则

# 重启服务

如果防火墙是Firewall，参照下面步骤：

# 首先检测防火墙是否已经启用，启用返回值runing，反之，为not running

#若没有启用，需要启用

# 若已经启用，则进行下一步

# 查看防火墙的默认、活跃区域（zones）

#看两条命令的返回值是否含有public，有则为正确。

# 端口永久开放

# 为了防止出错，22端口一同开放

# 与临时开放的区别在于多了permanent

# 防火墙重载

# 查看已暴露端口

4、尝试新端口登陆

尝试用1000端口进行登陆，看是否成功！

5、关闭原先的22端口

参考上面的 *** 作，首先在ssh的配置文件去掉22端口，重启sshd服务，然后在防火墙配置里面去除22端口，重启防火墙！这里不再赘述。

6、修改弱口令为强口令

# 输入修改密码命令

#此时系统提示

# 输入两次密码并回车，注意输入密码时不会显示的

7、推荐：

shell随机密码生成函数：

# 生成随机密码 ($1 位数)

8、扩展

虽然上面修改端口和口令能够大大提升安全性，但是在某些情况下不能修改端口或口令，此时可以推荐 DenyHosts或者fail2ban，它可以禁止大量尝试登陆的IP。或者可以用最简单的办法，查看尝试恶意登陆的前十个IP然后用防火墙禁止它，这里只提供思路。

---