كيفية منع هجمات القوة الغاشمة على SSH؟ دليل عملي حول تكوين مصادقة مفتاح VPS باستخدام HestiaCP.

أكثر من 90% من هجمات الخوادم الافتراضية الخاصة (VPS) تعود إلى... هجوم القوة الغاشمة على كلمات المرور الضعيفة لبروتوكول SSHإذا كنت لا تزال تسجل الدخول إلى الخادم باستخدام كلمة مرور، فهذا أمر خطير مثل ترك مفتاح منزلك معلقًا على الباب.

في هذه المقالة، سأرشدك خطوة بخطوة لتجنب كابوس هجمات التخمين العشوائي لكلمات المرور. سنجمع بين... VPS 与 المعجونالبرمجياتيستخدم هذا البرنامج التعليمي أكثر أدوات سطر الأوامر العملية لمساعدتك على رفع مستوى أمان SSH الخاص بك إلى أعلى مستوى.

لماذا نستخدم مفتاحًا بدلاً من كلمة مرور؟

مهما بلغت كلمة المرور من تعقيد، فإنه لا يزال من الممكن اختراقها باستخدام أسلوب التجربة والخطأ. إذ يستطيع المخترقون استخدام أدوات لتجربة عشرات الآلاف من تركيبات كلمات المرور في الثانية الواحدة.

而 مفتاح RSA 4096 بتنظرياً، سيستغرق الأمر مليارات السنين لفكّها. بالمقارنة، كلمة المرور أشبه بباب من ورق، بينما المفتاح أشبه ببوابة فولاذية.

الخطوة 1: إنشاء مفتاح SSH

在 لينكس أو بدلاً من ذلك، على نظام macOS، يمكنك إنشاء زوج مفاتيح RSA بطول 4096 بت مباشرةً:

ssh-keygen -t rsa -b 4096

اضغط على مفتاح الإدخال لحفظ المسار الافتراضي. /root/.ssh/id_rsa.

أدخل كلمة مرور (اختياري)، أو ببساطة اضغط على مفتاح الإدخال واتركه فارغًا.

سيقوم النظام بإنشاء ملفين:

• المفتاح الخاص:id_rsa
• المفتاح العام:id_rsa.pub

هذا هو "قفل" و"مفتاح" الخاص بك.

الخطوة الثانية: تهيئة المفتاح العام على الخادم

ضع المفتاح العام في دليل التراخيص الخاص بالخادم الافتراضي الخاص (VPS):

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

تأكد من الدليل /root/.ssh/ يوجد.

وبهذه الطريقة، سيتعرف الخادم فقط على مفتاحك العام ولن يعتمد بعد الآن على كلمة المرور.

الخطوة 3: تعديل ملف إعدادات SSH

قم بتحرير ملف التكوين:

nano /etc/ssh/sshd_config

تعديل المعلمات التالية:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

هذه الخطوة بالغة الأهمية: تعطيل تسجيل الدخول باستخدام كلمة المرور بشكل كامل.

الخطوة الرابعة: أعد تشغيل خدمة SSH

اجعل الإعدادات سارية المفعول فوراً:

• CentOS7:

systemctl restart sshd

• أوبونتو / ديبيان:

systemctl restart ssh

تم التأكد من أن الخدمة تعمل:

systemctl status sshd

الخطوة 5: يقوم مستخدمو نظام التشغيل Windows بتحويل المفتاح باستخدام برنامج PuTTYGen.

إذا كنت تستخدم نظام التشغيل ويندوز، فأنت بحاجة إلى تحويل المفتاح الخاص إلى تنسيق PuTTY:

1. 打开 بوتي جين
2. انقر حمل حمل id_rsa
3. انقر حفظ المفتاح الخاص حفظ باسم .ppk
4. 在 PuTTY → الاتصال → SSH → المصادقة حدد هذا .ppk 文件

بهذه الطريقة، يمكنك تسجيل الدخول بشكل آمن إلى خادمك الافتراضي الخاص باستخدام برنامج PuTTY.

الخطوة السادسة: التحقق من الهجمات العنيفة والدفاع ضدها

تأكد من تفعيل الإعدادات:

grep "Failed password" /var/log/auth.log

لن تُظهر السجلات سوى محاولات المهاجم الفاشلة، وليس عمليات تسجيل الدخول الناجحة.

مزيد من الدفاع:

• ميداني Fail2Ban حظر عناوين IP المهاجمة تلقائيًا
• قم بتغيير المنفذ الافتراضي (على سبيل المثال، قم بتغييره إلى 2222).
• لا يسمح جدار الحماية إلا بعناوين IP الموثوقة

بإمكان هذه التقنيات الثلاث إحباط جهود المخترقين تماماً.

ملخص

通过 إنشاء مفتاح ← تهيئة المفتاح العام ← تعديل ملف sshd_config ← إعادة تشغيل الخدمة ← استخدام PuTTY لتحويل المفتاح هذه الخطوات، خاصتك هيستياCP يمكن للخادم الافتراضي الخاص (VPS) القضاء تمامًا على خطر هجمات التخمين العشوائي لكلمات المرور.

إن إدخالات "كلمة المرور الفاشلة" في تلك السجلات ليست سوى محاولات فاشلة من قبل المهاجمين ولا تشير إلى أن مصادقة كلمة المرور لا تزال مفعلة.

الخلاصة: الأمن هو شريان الحياة للخادم.

في عالم أمن المعلومات، تُعدّ كلمات المرور الحلقة الأكثر عرضةً للخطر. إن استبدال كلمات المرور بالمفاتيح ليس مجرد خيار تقني، بل هو أيضاً انعكاس للمسؤولية والحكمة.

كما ورد في "الورقة البيضاء لأمن المعلومات": "الأمن ليس تكلفة، بل قيمة".

لذا، اتخذ إجراءً. حرر خادمك الافتراضي الخاص من قيود كلمات المرور، ودع هجمات الاختراق العنيفة تبقى إلى الأبد في سجلات المحاولات الفاشلة.