የአንቀጽ ማውጫ
ከ90% በላይ የሚሆኑት የVPS ጥቃቶች የሚከሰቱት በ... SSH ደካማ የይለፍ ቃል brute-force ጥቃትአሁንም በይለፍ ቃል ወደ ሰርቨር እየገቡ ከሆነ፣ የቤትዎን ቁልፍ በበሩ ላይ እንደ ተንጠልጥሎ መተው አደገኛ ነው።
በዚህ ጽሑፍ ውስጥ፣ የብሩት-ፎርስ የይለፍ ቃል ጥቃቶችን ሙሉ በሙሉ ለማምለጥ ደረጃ በደረጃ እመራችኋለሁ። እናጣምራለን... VPS ኋ ፕTTYሾክይህ አጋዥ ስልጠና የእርስዎን የSSH ደህንነት ወደ ከፍተኛ ደረጃ ከፍ ለማድረግ የሚረዱዎትን በጣም ተግባራዊ የሆኑ የትእዛዝ መስመር መሳሪያዎችን ይጠቀማል።
የይለፍ ቃል ከመጠቀም ይልቅ ቁልፍ ለምን እንጠቀማለን?
የይለፍ ቃል ምንም ያህል ውስብስብ ቢሆንም፣ በብሩት ፎርስ ሊሰነጠቅ ይችላል። ጠላፊዎች በሰከንድ በአስር ሺዎች የሚቆጠሩ የይለፍ ቃል ጥምረቶችን ለመሞከር መሳሪያዎችን መጠቀም ይችላሉ።
እና 4096-ቢት የRSA ቁልፍበንድፈ ሀሳብ፣ ለመስበር በቢሊዮን የሚቆጠሩ ዓመታት ይፈጃል። ለማነፃፀር፣ የይለፍ ቃል እንደ ወረቀት በር ሲሆን ቁልፍ ደግሞ የብረት በር ነው።
ደረጃ 1፡ የSSH ቁልፍ ይፍጠሩ
在 ሊኑክስ በአማራጭ፣ በ macOS ላይ፣ በቀጥታ የ4096-ቢት RSA ቁልፍ ጥንድ ማመንጨት ይችላሉ፡
ssh-keygen -t rsa -b 4096
ነባሪውን መንገድ ለማስቀመጥ Enter ን ይጫኑ። /root/.ssh/id_rsa.
የይለፍ ቃል ያስገቡ (አማራጭ)፣ ወይም በቀላሉ Enter ን ይጫኑ እና ባዶ ይተዉት።
ስርዓቱ ሁለት ፋይሎችን ይፈጥራል-
- የግል ቁልፍ፦
id_rsa - የህዝብ ቁልፍ፡
id_rsa.pub
ይህ የእርስዎ "መቆለፊያ" እና "ቁልፍ" ነው።
ደረጃ 2፡ በአገልጋዩ ላይ ያለውን የህዝብ ቁልፍ ያዋቅሩ
የህዝብ ቁልፉን በ VPS ፈቃድ ባለው ማውጫ ውስጥ ያስቀምጡ፡
cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
ማውጫውን ያረጋግጡ /root/.ssh/ አለ
በዚህ መንገድ፣ አገልጋዩ የእርስዎን ይፋዊ ቁልፍ ብቻ የሚያውቀው ሲሆን ከአሁን በኋላ በይለፍ ቃል ላይ አይመካም።
ደረጃ 3፡ የSSH ውቅር ፋይልን ያሻሽሉ
የውቅር ፋይሉን ያርትዑ፦
nano /etc/ssh/sshd_config
የሚከተሉትን መለኪያዎች ያስተካክሉ:
RSAAuthentication yes #RSA认证 PubkeyAuthentication yes #开启公钥验证 AuthorizedKeysFile .ssh/authorized_keys #验证文件路径 PasswordAuthentication no #禁止密码认证 PermitEmptyPasswords no #禁止空密码
ይህ እርምጃ ወሳኝ ነው፡ የይለፍ ቃል መግቢያን ሙሉ በሙሉ ያሰናክሉ።
ደረጃ 4፡ የSSH አገልግሎቱን እንደገና ያስጀምሩ
ውቅሩ ወዲያውኑ ተግባራዊ እንዲሆን ያድርጉ፦
- CentOS7:
systemctl restart sshd
- ኡቡንቱ / ደቢያን:
systemctl restart ssh
አገልግሎቱ እየሰራ መሆኑን ተረጋግጧል፡-
systemctl status sshd
ደረጃ 5፡ የዊንዶውስ ተጠቃሚዎች ቁልፉን በ PuTTYGen በመጠቀም ይቀይራሉ።
ዊንዶውስ የሚጠቀሙ ከሆነ የግል ቁልፉን ወደ PuTTY ቅርጸት መቀየር ያስፈልግዎታል፡
- ማዞር PuTTYGen
- መታ ያድርጉ ሸክም 加载
id_rsa - መታ ያድርጉ የግል ቁልፍ አስቀምጥ አስቀምጥ እንደ
.ppk - 在 PuTTY → ግንኙነት → SSH → ፈቃድ ይህንን ይምረጡ
.ppk文መል
በዚህ መንገድ፣ PuTTY ን በመጠቀም ወደ VPSዎ ደህንነቱ በተጠበቀ ሁኔታ መግባት ይችላሉ።
ደረጃ 6፡ ከጭካኔ ኃይል ጥቃቶች ያረጋግጡ እና ይከላከሉ
ውቅር ተግባራዊ መሆኑን ያረጋግጡ፦
grep "Failed password" /var/log/auth.log
ምዝግብ ማስታወሻዎቹ የአጥቂውን ያልተሳኩ ሙከራዎች ብቻ ያሳያሉ፣ የተሳኩ መግቢያዎችን ግን አያሳይም።
ተጨማሪ መከላከያ፦
- 配合 Fail2Ban የጥቃት አይፒዎችን በራስ-ሰር አግድ
- ነባሪውን ወደብ ይቀይሩ (ለምሳሌ፣ ወደ 2222 ይቀይሩት)።
- ፋየርዎል የሚፈቅደው የታመኑ የአይፒ አድራሻዎችን ብቻ ነው
እነዚህ ሶስት ዘዴዎች የጠላፊዎችን ጥረት ሙሉ በሙሉ ሊያደናቅፉ ይችላሉ።
ማጠቃለያ
ይለፉ ቁልፍ ይፍጠሩ → የህዝብ ቁልፍ ያዋቅሩ → sshd_config ን ይቀይሩ → አገልግሎቱን እንደገና ያስጀምሩ → PuTTY ቁልፍን ለመቀየር እነዚህ እርምጃዎች፣ የእርስዎ HestiaCP VPS የይለፍ ቃል ብሩ-ፎርስ ጥቃቶችን አደጋ ሙሉ በሙሉ ሊያስወግድ ይችላል።
በእነዚያ ምዝግብ ማስታወሻዎች ውስጥ ያሉት "ያልተሳካ የይለፍ ቃል" ግቤቶች በአጥቂዎች የተደረጉ ከንቱ ሙከራዎች ናቸው እና የይለፍ ቃል ማረጋገጥ አሁንም እንደነቃ አያመለክቱም።
ማጠቃለያ፡ ደህንነት የአንድ አገልጋይ የሕይወት መስመር ነው።
በመረጃ ደህንነት ዓለም ውስጥ የይለፍ ቃላት በጣም ተጋላጭ የሆኑ አገናኞች ናቸው። የይለፍ ቃላትን በቁልፍ መተካት የቴክኖሎጂ ምርጫ ብቻ ሳይሆን የኃላፊነት እና የጥበብ ነጸብራቅም ጭምር ነው።
በ"የመረጃ ደህንነት ነጭ ወረቀት" ላይ እንደተገለጸው፡ "ደህንነት ወጪ ሳይሆን ዋጋ ነው።"
ስለዚህ እርምጃ ይውሰዱ። VPSዎን ከይለፍ ቃላት ማሰሪያ ነፃ ያድርጉ፣ እና የጠላፊዎች የጭካኔ ኃይል ጥቃቶች ለዘላለም በተሳኩ ምዝግብ ማስታወሻዎች ውስጥ እንዲቆዩ ያድርጉ።
ተስፋ Chen Weiliang ብሎግ ( https://www.chenweiliang.com/ "የSSH Brute-Force ጥቃቶችን እንዴት መፍታት እንደሚቻል? የVPS ቁልፍ ማረጋገጫን በHestiaCP ማዋቀር ላይ ተግባራዊ አጋዥ ስልጠና" የሚለው ጽሑፍ እዚህ የተጋራ ሲሆን ለእርስዎ ጠቃሚ ሊሆን ይችላል።
እንኳን በደህና መጡ የዚህን ጽሁፍ ማገናኛ ለማጋራት፡-https://www.chenweiliang.com/cwl-34161.html