简介
通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
常见弱口令有:
1、数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等);
2、系统默认账号密码(如:tomcat/tomcat等);
3、短语密码(如:5201314,woaini1314等)。
弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。
1.phpMyadmin管理控制台弱口令及安全加固
phpMyadmin是一款流行的数据库管理系统,如果口令设置过于简单,攻击者可以登录到系统,对数据库进行任意增、删、改等高风险恶意操作,从而导致数据泄露或其他入侵事件发生,安全风险高。根据通常的业务需求,数据库管理后台主要方便的为数据库管理员、开发人员服务,使用人员范围小,一旦对外网全部开放,将可能会造成严重的数据泄露事件发生。所以在部署安装完毕后,我们应该对phpMyadmin管理控制台进行安全加固,具体如下:
(1).网络访问控制策略
限制访问人员 IP 配置phpMyadmin
您可以使用云服务器提供的安全组防火墙策略对访问源IP地址进行限制,避免不必要的人员访问数据库管理后台。
phpMyadmin默认也提供了访问控制功能,具体配置如下:
进入phpMyAdmin目录,找到config.inc.php,如果没有,可以将根目录下的config.sample.inc.php复制为config.inc.php。
编辑config.inc.php,添加下面两行代码,其中192.168.0.1是允许访问 phpMyAdmin 的IP,Access denied是未经授权访问时的提示信息:
$ip_prefix = '192.168.0.1';
if (substr($_SERVER['REMOTE_ADDR'], 0, strlen($ip_prefix)) != $ip_prefix ) die('Access denied');(2).账号与口令安全策略
设置强度复杂的口令,可以有效避免被攻击者轻易猜解成功,设置完毕后无需重启服务,及时生效;
根据使用人员角色对数据库账号进行精细化授权,防止运维风险;
2.Axis2控制台弱口令及安全加固
修复方案
修改Axis2默认账户名与口令,具体位置在axis2中的conf.xml文档中,修改如下两行代码。
admin
axis2
3.其他系统弱口令及安全加固
如:海康威视摄像头弱口令、锐捷AC弱口令、Jboss弱口令、grafana 弱口令、Weblogic弱口令、Cisco_WEB弱口令、SQL Server弱口令 、FTP弱口令 、Jboss弱口令、Redis弱口令、Glassfish弱口令、Wordpress弱口令、PostgresSQL弱口令、SMB弱口令、SSH弱口令、MySQL弱口令、Resin控制台弱口令、Tomcat弱口令等
安全建议
1、针对管理人员,应强制其账号密码强度必须达到一定的级别;
2、建议密码长度不少于8位,且密码中至少包含数字、字母和符号;
3、不同网站应使用不同的密码,以免遭受“撞库攻击”;
4、 避免使用生日,姓名等信息做密码,远离社工危害。