用动态端口，增强winrm，open sshd的，服务器安全

 

前言

我开发了一套开源，免费，跨平台的devops脚本批量运维工具。【kaiiit家的饭店】是软件的正式名字。【卡死你3000】是第一版开发代号。

想要增强win被控机密码安全。可以免费使用《卡死你3000》批量修改被控机密码 https://www.cnblogs.com/piapia/p/14251763.html

想要增强winrm被控机安全。可以免费使用我开发的winrm黑名单脚本。 https://www.cnblogs.com/piapia/p/10922513.html

想要增强open sshd被控机安全。可以免费使用我开发的ssh-deny-host黑名单脚本。 【bkj_linux_deny-sshhost4.ps1】

随着信息技术的发展，网络服务器安全，面临着诸多更严峻挑战。
为了更好的保护服务器，我开发了用《动态端口增强winrm被控机，open sshd的，服务器安全》的方案和脚本。
脚本是收费的。winrm版50元，open sshd版20元。可以加入，卡死你官方qq群=700816263，找群主购买。这里主要介绍方案的原理。

正文

问：为什么要用动态端口？使用场景是啥？

答：
1 用《卡死你3000》批量修改被控机密码，会把被控机密码改成16位随机数，每台被控机不同。密码记不住，很多人不喜欢这么用。

2 用winrm，sshd黑名单技术，实际上不错。但是固定端口容易被ddos，攻击。很多人不想这么用。

3 云计算，可以开放固定端口。但若想用命令动态打开安全组端口，用完，动态关闭，并不容易。
需要点击网页，建立账户，设定aksk。对批量运维尤其麻烦。

4 用动态端口，还可以防止中间人阻断tcp长期，大流量连接的攻击。

5 堡垒机上，建议使用动态端口，比黑名单好。

功能和原理：

分为主控机脚本1个，被控机脚本1个，系统运行库n个。

被控机1---8分钟随机更换winrm端口；
被控机1---8分钟随机更换win，linux版open sshd被控机端口。
当然，被控机更换端口后，主控机连接将被断开。此时重新运行主控机脚本，算出新的被控机端口，继而用新端口连接即可。
也就是说，服务器每次变更端口，数据连接就会中断。
这对于从主控机向被控机快速提交的命令，没啥影响。
但是对于大文件传输，是有影响的。
对于linux2linux使用rsync；
对于win2linux，就要用卡死你3000项目中免费的【k_rsync_winfromlinux.ps1】，【k_rsync_wintolinux.ps1】

 

端口随机库：
主控机，被控机，必须使用同一套随机库。这个库，可以用本方案内的脚本产生。

批量：
对于一客户机，对多服务器。若【使用同一套随机库】。则在同一时间，被控机端口相同。
使用多套随机库，即可使同一时间，客户机到每台服务器的动态端口都不同。

卡死你3000适配：
脚本库，默认是独立使用的，和卡死你3000无关。只和一个客户机，一个服务器有关。
若想适配卡死你3000的nodelist.csv，需要通过动态端口插件，来实现。付费。

 

 

谢谢观看。