hualinux ros 1.6: RouterOS简单的安全设置
目录
上一章讲了ros的几种登录方式,其中有推荐,有不推荐,主要是为了安全考虑。
你们配置好ros还需要简单有一点安全设置,否则很容易被别人入侵。主要是:
- 禁用默认用户admin
- 修改端口
- 禁用一些不需要的服务
一、安全配置的简单原则
做好安全配置可以使用最小化原则,尽可能开少一些服务,把不需要的服务关闭。如果有些服务不能关闭,可以考虑以下方面
- 修改用户名。是否有大家都知道的用户名,如果有能不能修改,如果不能修改能不能禁止,比如ros的admin可以禁止和删除
- 使用复杂的密码。密码尽量使用复杂的密码。最少8位,由数字、大小写字母和特殊符号组成。至少包含有一个数字、字母和特殊字符且字母不能重复。
- 修改端口号。是否有大家都知道的端口号,如果有能不能修改。
- 加强安全。如果端口号不能修改,能不能加强安全,网站使用的是80(http)端口和443(https)端口,你总不能修改成其它的吧,所以就要加强,比如前面加一个防火墙,网站本身也做防御,比如防SQL注入、防上传漏洞、
CSRF(Cross-site request forgery)跨站请求伪造攻击等
二、ros安全设置
2.1 禁用ros admin用户
先添加一个用户,再把admin用户禁止了,操作如下:
登录winbox,点 “System->Users”,
2.1.1 添加新用户
你这里添加一个和admin有一样大权限的用户hua,这里是实验我就用简单的123
PS:密码一般建议使用复杂密码。最少8位,由数字、大小写字母和特殊符号组成。至少包含有一个数字、字母和特殊字符且字母不能重复。
2.1.2 禁用admin
被禁用会变成灰色,表示不可用状态
2.2 禁用telnet、www服务
打开 "IP-->Services",如下图所示:
直接把红色的不需要服务 ftp、telnet、www都关了,按着ctrl键不放,分别点红色的3项,再点 X 即可
PS:ftp服务是否关闭看情况,我这里没有使用到,所以关闭它
2.3 修改端口
上面的服务中,有api、api-ssl、ssh、winbox几个没有关闭,那么修改一下它们的端口号,我只拿winbox和ssh为例子
2.3.1 修改winbox端口
你把winox的端口号改为8000吧,操作如下:
关闭winbox,改用IP登录,登录方式为 ip:winbox端口
登录后,也发现了使用的是8000端口号,如下图所示:
2.3.2 修改ssh端口号
修改ssh端口号操作和修改winbox端口操作是一样的,我这里不再讲了,我把ssh修改为5000
在使用xshell连接时,修改一个会话属性中的连接,把端口号改为5000则可
因为用户名和密码也改了,所以也修改一下:
点确定之后,变修改成功了,如下图所示:
双周上面的会话,看是否能连接
发现可以,在最下方,有连接地址,端口号为5000
2.4 其它
还有其它安全设置,比如禁用mac、ping等,这里就不再了,到后面熟悉了,自然会操作。