说实话现在的恶意扫描早就不是以前nmap全端口瞎扫那么简单了,尤其是2026年开始流行的低速率NMAP隐蔽扫描、SSH指纹前置识别嗅探、还有Web路径的分布式字典模糊匹配,新手运维如果只靠云厂商默认的轻量防火墙,基本挡不住80%以上的有针对性前期探测。
先从最简单但很多人漏的SSH层面入手吧,不是改个非22端口就万事大吉了——上个月炸醒我的那个测试站,客户刚改完22222端口就以为安全了,结果还是被探测到。我个人 多数线上生产场景下,先把SSH的密码登录彻底关了,只留密钥对验证,这个改配置比加一堆拦截规则有用得多。实操起来也快,先确认你已经用ssh-keygen在本地生成了ed25519的密钥(rsa的现在很多新手为了省事设得太短,容易被暴力破解私钥),然后把公钥上传到服务器的~/.ssh/authorized_keys文件里,权限一定要记得改成600,authorized_keys的上级目录.ssh改成700,不然配置不生效。上传完别急着关密码,先在本地用新端口和密钥连两次,确保没问题了再编辑/etc/ssh/sshd_config文件,把PasswordAuthentication改成no,PubkeyAuthentication改成yes,最后重启sshd服务:systemctl restart sshd。
接下来是防火墙层面的组合配置,别只靠云厂商的图形界面点来点去,手动加iptables或者firewalld的规则更灵活,也能直接对应到2026年的常见恶意探测手段。先拿我们客户最后救急时用的firewalld来说吧,很多新手都不知道firewalld有个rich rule功能,比默认的区域规则好用太多。首先可以加一条规则,禁止除了跳板机IP和自己的备用办公IP之外的所有IP直接访问服务器的非Web非业务端口,比如把预热用的测试站业务端口设为8080和8443,那规则就可以这样写:firewall-cmd permanent add-rich-rule=’rule family=”ipv4″ source address=”123.45.67.89/32,98.76.54.32/32″ port protocol=”tcp” port=”22222″ accept’,然后把这条规则加上的 把默认的SSH端口访问给关了:firewall-cmd permanent remove-service=ssh。对了,还有针对低速率nmap扫描的规则,可以加一个每分钟只允许同一个IP访问10个以上新端口就临时封24小时的规则,这样既能避免正常业务偶尔的波动,又能挡住大部分隐蔽扫描:firewall-cmd permanent add-rich-rule=’rule family=”ipv4″ source address=”any” port protocol=”tcp” port=”1-65535″ limit value=”10/m” accept’,再加上一条:firewall-cmd permanent add-rich-rule=’rule family=”ipv4″ source address=”any” port protocol=”tcp” port=”1-65535″ reject’。
敲黑板说第一个新手避坑提醒:不管是加SSH的密钥对验证,还是加防火墙的rich rule,永远不要先关旧的验证方式或者旧的端口访问规则,一定要先在本地多测试几次新的方式没问题了再操作,像我那个客户手滑还只是跳板机,如果是正式生产的核心数据库服务器误封了自己的IP,那问题就大了,搞不好要找云厂商的技术支持花半小时才能解锁,期间业务可能直接停摆。
还有第二个避坑提醒:现在很多新手为了省事,会直接从网上抄一堆iptables或者firewalld的规则堆在服务器上,完全不管自己的业务场景——比如如果你的服务器是用在CDN节点上的,那每分钟只允许访问10个新端口的规则肯定会把CDN的探测给封了,影响CDN的缓存同步,所以抄规则之前一定要先研究一下规则的具体含义,再根据自己的业务场景调整参数。
最后再提一个可以搭配使用的小工具吧,fail2ban,虽然是老工具了,但搭配上自定义的扫描规则,对付2026年的分布式模糊匹配Web路径探测还是挺有用的,比如你可以自定义一个nginx的日志过滤规则,当同一个IP在5分钟内访问了超过50个返回404的路径时,就自动把它加入到firewalld的黑名单里,临时封12小时。
对了,刚才提到的rich rule,所有加完permanent的规则之后,都要记得重新加载firewalld:systemctl reload firewalld,不然规则不会立即生效。
你们在运维工作中有没有遇到过类似的恶意扫描坑?欢迎在评论区分享你的排查经验,或者有什么更好的防护配置也可以一起交流。
评论列表 (0条):
加载更多评论 Loading...