因為我接著就將密碼輸入錯誤只能允許 1 次,等於說對方只能有 1 次的輸入機會,一輸入錯誤,其 IP 就會被封鎖,而黑名單上就會再增加一筆資料,我又多知道了一各有問題的 IP 了,我未來也可以一直使用這個名單來同步至我的其它網站,至於會不會有誤判的問題,如是 80 Port 可能會,但如果會去玩你的 22 Port 的,肯定不會是什麼積善之家,放心的封了吧。
這裡的 NAS 或 Router 都是我私人的,所以可以這麼做,但如果你的設備是公司的或是要服務於大眾的,就不太適合使用這種方式了,去除某些連自己密碼都搞不太清楚的,主要是有些 IP 只是跳板而已,當你把這些 IP 封了之後,不幸未來你的客戶又拿到這個 IP,他就無法使用你的服務了。
這時可能有人會問,當你將密碼錯誤次數設定成一次時,風險不會變得很大嗎?萬一自己要登入,結果輸錯了密碼,那不就整台機器變成磚頭了,所以這時候就要設定白名單,我是將區網:192.168開頭的 IP 都設白名單,不管輸入幾次錯誤都不會被封鎖,而區網就是你家裡的成員而已,原則上都是可信任的,何況就算要去試登入你的帳號,也需要幾年的時間,所以如果你從外面要登進你的 NAS,萬一輸錯密碼當時的 IP 被封掉了,也能回家解鎖。
那如果有人手上握有一堆 IP 或是有永遠用不完的 IP 呢?事實上這對攻擊者是基本功而已,我已經使用此方法在我的 NAS 幾年了,到現在每天還是會封到一堆 IP,可見有問題的 IP 是封不完的,這時候長密碼就發揮功效了,設定密碼的重點在於長度,就算你的密碼都是數字,只要長度夠,依然解不開,例如設定個十幾二十位的密碼,幾乎對方就要試到死,更何況你只給他一次的機會,就算他手上有一堆 IP,遲早也會被你封光,或是他借用疆屍電腦,也要做整合,以確保猜過的帳密不重覆,但是還有一個問題,他有幾十億台電腦需要破解,你的 NAS 是多重要,需要他浪費這麼多時間在你身上。
發表於 2021-2-23 12:15:29