如果您的服务器使用弱口令登录,黑客可能会非法登录您的服务器,窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安全性。本文介绍如何提升登录口令的安全性以及常见服务器登录口令的修改方法。
背景信息
在服务器系统中使用弱口令可能会造成以下危害:
- 个人用户使用的弱口令可能会被猜解或被破解工具破解,从而泄露个人隐私信息,甚至造成财产损失。
- 系统管理员使用弱口令可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪,造成所有用户信息的泄露和巨大的经济损失,甚至可能引发群体性的网络安全危害事件。
及时检测弱口令能够有效防止系统被攻击和信息泄露,可以提高系统的安全性。您可以根据以下建议加强您服务器的安全防护。
- 参考本文介绍的提升口令安全的方法设置登录口令。具体方法,请参见提升口令安全。
- 使用云安全中心基线检查功能,检查您的服务器中是否存在高危弱口令风险。如果在您的资产中检测出了高危弱口令风险,建议您及时修改资产中的弱口令。具体方法,请参见修改常见的服务器弱口令。
提升口令安全
您可以通过以下方法提升登录口令的安全性:
- 设置复杂密码复杂密码应同时满足以下要求:
- 密码长度大于等于8个字符。
- 至少包含以下三种字符的组合:
- 大写字母(A~Z)
- 小写字母(a~z)
- 数字(0~9)
- 特殊字符(~、!、@、$、%、^、&、*、-、_、=、+、#、/、?)
- 密码不能为用户名或用户名的倒序。
- 不使用常见或公开的弱口令以下是常见或公开的弱口令:
- 已公开的常用弱口令。例如abcd1234、admin、root、admin@123等。
- 数字或字母连排或混排,键盘字母连排。例如123456、abcdef、123abc、qwerty、1qaz2wsx等。
- 短语密码。例如5201314、woaini1314等。
- 公司名称、生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份等。
- 定期修改密码
建议每隔90天更改一次密码。
修改常见的服务器弱口令
以下表格介绍修改Linux服务器、MySQL数据库、Redis数据库等常见系统的登录弱口令的操作防范。
系统名称 | 修改登录口令操作步骤 | 说明 |
---|---|---|
Linux系统 | 在Linux系统服务器中,执行passwd [<user>]命令修改用户登录口令。 | 其中<user> 为登录用户名,如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。
|
Windows系统 | 本处以Windows 10为例说明修改用户登录口令的方法。
|
无 |
MySQL数据库 |
|
无 |
Redis数据库 |
|
其中<password> 为登录口令。如果已存在登录口令,则将其修改为复杂口令;如果不存在登录口令,则添加新口令。
|
SQL Server数据库 |
|
其中<oldpassword> 为旧口令,<newpassword> 为新口令,<user> 为用户名。
|
MongoDB数据库 |
|
|
PostgreSQL数据库 |
|
其中<user> 为用户名,<newpassword> 为新口令。
|
Tomcat |
|
无 |
Rsync |
|
无 |
SVN |
|
无 |
vsftpd服务器软件 |
|
无 |