Jak zabránit útokům hrubou silou SSH? Praktický návod na konfiguraci ověřování klíčů VPS pomocí HestiaCP.

Více než 90 % útoků na VPS je způsobeno... Útok hrubou silou na slabé heslo SSHPokud se stále přihlašujete k serveru pomocí hesla, je to stejně nebezpečné, jako nechat klíč od domu viset na dveřích.

V tomto článku vás krok za krokem provedu tím, jak se zcela vyhnout noční můře útoků hrubou silou na heslo. Zkombinujeme... VPS 与 PuTTY软件Tento tutoriál využívá nejpraktičtější nástroje příkazového řádku, které vám pomohou povýšit zabezpečení SSH na nejvyšší úroveň.

Proč používat klíč místo hesla?

Bez ohledu na to, jak složité je heslo, stále ho lze prolomit hrubou silou. Hackeři mohou použít nástroje k vyzkoušení desítek tisíc kombinací hesel za sekundu.

a 4096bitový klíč RSATeoreticky by jeho prolomení trvalo miliardy let. Pro srovnání, heslo je jako papírové dveře, zatímco klíč je ocelová brána.

Krok 1: Vygenerování SSH klíče

在 Linux Alternativně můžete v systému macOS přímo vygenerovat 4096bitový pár klíčů RSA:

ssh-keygen -t rsa -b 4096

Stisknutím klávesy Enter uložte výchozí cestu. /root/.ssh/id_rsa.

Zadejte heslo (volitelné) nebo jednoduše stiskněte klávesu Enter a nechte pole prázdné.

Systém vygeneruje dva soubory:

• Soukromý klíč:id_rsa
• Veřejný klíč:id_rsa.pub

Toto je váš „zámek“ a „klíč“.

Krok 2: Nakonfigurujte veřejný klíč na serveru

Umístěte veřejný klíč do licencovaného adresáře VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Zajistěte adresář /root/.ssh/ existovat.

Tímto způsobem server rozpozná pouze váš veřejný klíč a nebude se již spoléhat na heslo.

Krok 3: Úprava konfiguračního souboru SSH

Upravte konfigurační soubor:

nano /etc/ssh/sshd_config

Upravte následující parametry:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Tento krok je klíčový: zcela zakažte přihlašování heslem.

Krok 4: Restartujte službu SSH

Proveďte okamžitou platnost konfigurace:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Bylo potvrzeno, že služba je spuštěna:

systemctl status sshd

Krok 5: Uživatelé Windows převedou klíč pomocí PuTTYGen.

Pokud používáte Windows, je potřeba převést soukromý klíč do formátu PuTTY:

1. zapnout PuTTYGen
2. 点击 Zatížení zatížení id_rsa
3. 点击 Uložte soukromý klíč Uložit jako .ppk
4. 在 PuTTY → Připojení → SSH → Autorizace Vyberte toto .ppk 文件

Tímto způsobem se můžete bezpečně přihlásit ke svému VPS pomocí PuTTY.

Krok 6: Ověření a ochrana před útoky hrubou silou

Potvrďte, že je konfigurace aktivní:

grep "Failed password" /var/log/auth.log

V protokolech se zobrazí pouze neúspěšné pokusy útočníka, nikoli úspěšná přihlášení.

Další obrana:

• Spolupracovat Fail2Ban Automaticky blokovat útočící IP adresy
• Změňte výchozí port (např. na 2222).
• Firewall povoluje pouze důvěryhodné IP adresy

Tyto tři techniky mohou hackerské úsilí zcela zmařit.

总结

Skrz Generování klíče → Konfigurace veřejného klíče → Úprava sshd_config → Restartování služby → PuTTY pro převod klíče Tyto kroky, vaše HestiaCP VPS dokáže zcela eliminovat riziko útoků hrubou silou na heslo.

Záznamy „Chybné heslo“ v těchto protokolech jsou pouze marné pokusy útočníků a neznamenají, že je ověřování heslem stále povoleno.

Závěr: Bezpečnost je základem serveru.

Ve světě informační bezpečnosti jsou hesla nejzranitelnějším článkem. Nahrazení hesel klíči není jen technologickou volbou, ale také odrazem zodpovědnosti a moudrosti.

Jak je uvedeno v „Bílé knize o informační bezpečnosti“: „Bezpečnost není cena, ale hodnota.“

Takže jednat. Osvoboďte svůj VPS od pout hesel a nechte útoky hackerů hrubou silou navždy zůstat v neúspěšných protokolech.