Як прадухіліць атакі грубай сілы SSH? Практычны дапаможнік па наладзе аўтэнтыфікацыі ключоў VPS з дапамогай HestiaCP.

Больш за 90% нападаў на VPS адбываюцца з-за... Атака грубай сілы на слабы пароль SSHКалі вы ўсё яшчэ ўваходзіце на сервер з паролем, гэта гэтак жа небяспечна, як пакідаць ключ ад дома вісець на дзвярах.

У гэтым артыкуле я пакрокава правяду вас па шляху, каб цалкам пазбегнуць кашмару грубай сілы атак на паролі. Мы аб'яднаем... VPS супраць PuTTY软件У гэтым уроку выкарыстоўваюцца найбольш практычныя інструменты каманднага радка, якія дапамогуць вам падняць бяспеку SSH на найвышэйшы ўзровень.

Навошта выкарыстоўваць ключ замест пароля?

Незалежна ад таго, наколькі складаны пароль, яго ўсё роўна можна ўзламаць грубай сілай. Хакеры могуць выкарыстоўваць інструменты, каб спрабаваць дзясяткі тысяч камбінацый пароляў у секунду.

і 4096-бітны ключ RSAТэарэтычна, каб узламаць яго, спатрэбіліся б мільярды гадоў. Для параўнання, пароль падобны на папяровыя дзверы, а ключ — на сталёвую браму.

Крок 1: Згенеруйце SSH-ключ

在 Linux Акрамя таго, у macOS вы можаце непасрэдна згенераваць 4096-бітную пару ключоў RSA:

ssh-keygen -t rsa -b 4096

Націсніце Enter, каб захаваць шлях па змаўчанні. /root/.ssh/id_rsa.

Увядзіце пароль (неабавязкова) або проста націсніце Enter і пакіньце поле пустым.

Сістэма згенеруе два файлы:

• Прыватны ключ:id_rsa
• Адкрыты ключ:id_rsa.pub

Гэта ваш «замак» і «ключ».

Крок 2: Наладзьце адкрыты ключ на серверы

Змесціце адкрыты ключ у ліцэнзаваны каталог VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Забяспечце каталог /root/.ssh/ існуюць.

Такім чынам, сервер распазнае толькі ваш адкрыты ключ і больш не будзе абапірацца на пароль.

Крок 3: Змяніце файл канфігурацыі SSH

Адрэдагуйце файл канфігурацыі:

nano /etc/ssh/sshd_config

Змяніце наступныя параметры:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Гэты крок вельмі важны: цалкам адключыце ўваход па паролі.

Крок 4: Перазапусціце службу SSH

Зрабіце так, каб канфігурацыя ўступіла ў сілу неадкладна:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Пацверджана праца сэрвісу:

systemctl status sshd

Крок 5: Карыстальнікі Windows канвертуюць ключ з дапамогай PuTTYGen.

Калі вы карыстаецеся Windows, вам трэба пераўтварыць закрыты ключ у фармат PuTTY:

1. уключыць PuTTYGen
2. 点击 Нагрузка нагрузкі id_rsa
3. 点击 Захаваць прыватны ключ Захаваць як .ppk
4. 在 PuTTY → Падключэнне → SSH → Аўтэнтыфікацыя Выберыце гэта .ppk 文件

Такім чынам, вы можаце бяспечна ўвайсці ў свой VPS з дапамогай PuTTY.

Крок 6: Праверка і абарона ад атак грубай сілы

Пацвердзіце, што канфігурацыя дзейнічае:

grep "Failed password" /var/log/auth.log

У журналах будуць паказвацца толькі няўдалыя спробы зламысніка, а не паспяховыя ўваходы ў сістэму.

Далейшая абарона:

• Супрацоўнічаць Fail2Ban Аўтаматычна блакуйце атакуючыя IP-адрасы
• Змяніце порт па змаўчанні (напрыклад, на 2222).
• Брандмаўэр дазваляе выкарыстоўваць толькі давераныя IP-адрасы

Гэтыя тры метады могуць цалкам перашкодзіць намаганням хакера.

总结

Перадайце Згенераваць ключ → Наладзіць адкрыты ключ → Змяніць sshd_config → Перазапусціць службу → PuTTY для пераўтварэння ключа Гэтыя крокі, вашы HestiaCP VPS можа цалкам ліквідаваць рызыку перабору пароляў метадам грубай сілы.

Запісы «Пароль не ўведзены» ў гэтых журналах — гэта проста марныя спробы зламыснікаў і не сведчаць аб тым, што аўтэнтыфікацыя па паролі ўсё яшчэ ўключана.

Выснова: Бяспека — гэта жыццёва важны элемент сервера.

У свеце інфармацыйнай бяспекі паролі з'яўляюцца найбольш уразлівым звяном. Замена пароляў ключамі — гэта не проста тэхналагічны выбар, але і адлюстраванне адказнасці і мудрасці.

Як гаворыцца ў «Белай кнізе па інфармацыйнай бяспецы»: «Бяспека — гэта не кошт, а каштоўнасць».

Дык дзейнічайце. Вызваліце ​​свой VPS ад кайданоў пароляў і дазвольце хакерскім атакам грубай сілы назаўжды заставацца ў логах збояў.