Как да предотвратим SSH атаки с груба сила? Практическо ръководство за конфигуриране на удостоверяване на VPS ключ с HestiaCP.

Над 90% от атаките срещу VPS се дължат на... SSH атака с груба сила за слаба паролаАко все още влизате в сървъра с парола, това е също толкова опасно, колкото да оставите ключа от къщата си да виси на вратата.

В тази статия ще ви водя стъпка по стъпка, за да се измъкнете напълно от кошмара на грубата сила на атаките срещу пароли. Ще комбинираме... VPS и PuTTY软件Този урок използва най-практичните инструменти за команден ред, за да ви помогне да повишите SSH сигурността си до най-високо ниво.

Защо да използвам ключ вместо парола?

Без значение колко сложна е една парола, тя все още може да бъде разбита чрез груба сила. Хакерите могат да използват инструменти, за да изпробват десетки хиляди комбинации от пароли в секунда.

и 4096-битов RSA ключНа теория, разбиването ѝ би отнело милиарди години. За сравнение, паролата е като хартиена врата, докато ключът е стоманена порта.

Стъпка 1: Генериране на SSH ключ

在 Linux Като алтернатива, в macOS можете директно да генерирате 4096-битова RSA двойка ключове:

ssh-keygen -t rsa -b 4096

Натиснете Enter, за да запазите пътя по подразбиране. /root/.ssh/id_rsa.

Въведете парола (по избор) или просто натиснете Enter и оставете полето празно.

Системата ще генерира два файла:

• Частен ключ:id_rsa
• Публичен ключ:id_rsa.pub

Това са вашите „ключалки“ и „ключове“.

Стъпка 2: Конфигурирайте публичния ключ към сървъра

Поставете публичния ключ в лицензираната директория на VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Осигурете директорията /root/.ssh/ съществуват.

По този начин сървърът ще разпознае само вашия публичен ключ и вече няма да разчита на паролата.

Стъпка 3: Променете конфигурационния файл на SSH

Редактирайте конфигурационния файл:

nano /etc/ssh/sshd_config

Променете следните параметри:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Тази стъпка е от решаващо значение: напълно деактивирайте влизането с парола.

Стъпка 4: Рестартирайте SSH услугата

Накарайте конфигурацията да влезе в сила незабавно:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Потвърдено е, че услугата работи:

systemctl status sshd

Стъпка 5: Потребителите на Windows конвертират ключа с помощта на PuTTYGen.

Ако използвате Windows, трябва да конвертирате частния ключ във формат PuTTY:

1. 打开 PuTTYGen
2. 点击 Натоварване натоварване id_rsa
3. 点击 Запазване на частния ключ Запази като .ppk
4. 在 PuTTY → Връзка → SSH → Авторизация Изберете това .ppk досие

По този начин можете сигурно да влезете във вашия VPS, използвайки PuTTY.

Стъпка 6: Проверка и защита срещу атаки с груба сила

Потвърдете, че конфигурацията е в сила:

grep "Failed password" /var/log/auth.log

Логовете ще показват само неуспешните опити на нападателя, а не успешните влизания в системата.

Допълнителна защита:

• Сътрудничи Fail2Ban Автоматично блокиране на атакуващите IP адреси
• Променете порта по подразбиране (например, променете го на 2222).
• Защитната стена позволява само надеждни IP адреси

Тези три техники могат напълно да осуетят усилията на хакера.

总结

от Генериране на ключ → Конфигуриране на публичен ключ → Промяна на sshd_config → Рестартиране на услугата → PuTTY за конвертиране на ключ Тези стъпки, вашите HestiaCP VPS може напълно да елиминира риска от атаки с груба сила на паролата.

Записите „Неуспешна парола“ в тези регистрационни файлове са просто безполезни опити на нападателите и не показват, че удостоверяването с парола все още е активирано.

Заключение: Сигурността е жизненоважната линия на един сървър.

В света на информационната сигурност паролите са най-уязвимото звено. Замяната на паролите с ключове не е просто технологичен избор, а и отражение на отговорност и мъдрост.

Както е посочено в „Бялата книга за информационната сигурност“: „Сигурността не е разход, а ценност.“

Затова действайте. Освободете вашия VPS от оковите на паролите и оставете атаките с груба сила на хакерите да останат завинаги в неуспешните лог файлове.