Cyfeiriadur Erthygl
Mae dros 90% o ymosodiadau VPS oherwydd... Ymosodiad grym brwd cyfrinair gwan SSHOs ydych chi'n dal i fewngofnodi i'r gweinydd gyda chyfrinair, mae mor beryglus â gadael allwedd eich tŷ yn hongian ar y drws.
Yn yr erthygl hon, byddaf yn eich tywys gam wrth gam i ddianc yn llwyr rhag hunllef ymosodiadau cyfrinair grym brwd. Byddwn yn cyfuno... Datganiad Personol Dioddefwr yn erbyn PuTTY软件Mae'r tiwtorial hwn yn defnyddio'r offer llinell orchymyn mwyaf ymarferol i'ch helpu i godi eich diogelwch SSH i'r lefel uchaf.
Pam defnyddio allwedd yn lle cyfrinair?
Ni waeth pa mor gymhleth yw cyfrinair, mae'n dal yn bosibl ei gracio gan ddefnyddio grym brwd. Gall hacwyr ddefnyddio offer i roi cynnig ar ddegau o filoedd o gyfuniadau cyfrinair yr eiliad.
a Allwedd RSA 4096-bitMewn theori, byddai'n cymryd biliynau o flynyddoedd i'w gracio. Mewn cymhariaeth, mae cyfrinair fel drws papur, tra bod allwedd yn giât ddur.
Cam 1: Cynhyrchu allwedd SSH
在 Linux Fel arall, ar macOS, gallwch chi gynhyrchu pâr allweddi RSA 4096-bit yn uniongyrchol:
ssh-keygen -t rsa -b 4096
Pwyswch Enter i gadw'r llwybr diofyn. /root/.ssh/id_rsa.
Rhowch gyfrinair (dewisol), neu pwyswch Enter a'i adael yn wag.
Bydd y system yn cynhyrchu dau ffeil:
- Allwedd breifat:
id_rsa - Allwedd gyhoeddus:
id_rsa.pub
Dyma eich "clo" a'ch "allwedd".
Cam 2: Ffurfweddu'r allwedd gyhoeddus ar y gweinydd
Rhowch yr allwedd gyhoeddus yng nghyfeiriadur trwyddedig y VPS:
cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
Sicrhewch y cyfeiriadur /root/.ssh/ bodoli.
Fel hyn, dim ond eich allwedd gyhoeddus y bydd y gweinydd yn ei hadnabod ac ni fydd yn dibynnu ar y cyfrinair mwyach.
Cam 3: Addasu'r ffeil ffurfweddu SSH
Golygu'r ffeil ffurfweddu:
nano /etc/ssh/sshd_config
Addasu'r paramedrau canlynol:
RSAAuthentication yes #RSA认证 PubkeyAuthentication yes #开启公钥验证 AuthorizedKeysFile .ssh/authorized_keys #验证文件路径 PasswordAuthentication no #禁止密码认证 PermitEmptyPasswords no #禁止空密码
Mae'r cam hwn yn hanfodol: analluogi mewngofnodi â chyfrinair yn llwyr.
Cam 4: Ailgychwyn y gwasanaeth SSH
Gwnewch i'r cyfluniad ddod i rym ar unwaith:
- CentOS7:
systemctl restart sshd
- Ubuntu / Debian:
systemctl restart ssh
Cadarnhawyd bod y gwasanaeth yn rhedeg:
systemctl status sshd
Cam 5: Mae defnyddwyr Windows yn trosi'r allwedd gan ddefnyddio PuTTYGen.
Os ydych chi'n defnyddio Windows, mae angen i chi drosi'r allwedd breifat i fformat PuTTY:
- trowch ymlaen PuTTYGen
- Cliciwch Llwyth 加载
id_rsa - Cliciwch Cadw allwedd breifat Cadw fel
.ppk - 在 PuTTY → Cysylltiad → SSH → Awdurdodi Dewiswch hwn
.ppk文件
Fel hyn, gallwch fewngofnodi'n ddiogel i'ch VPS gan ddefnyddio PuTTY.
Cam 6: Gwirio ac amddiffyn rhag ymosodiadau grym brwd
Cadarnhewch fod y ffurfweddiad mewn grym:
grep "Failed password" /var/log/auth.log
Dim ond ymdrechion aflwyddiannus yr ymosodwr fydd y logiau'n eu dangos, nid mewngofnodiadau llwyddiannus.
Amddiffyniad pellach:
- Cydweithredu Fail2Ban Rhwystro IPs ymosodol yn awtomatig
- Newidiwch y porthladd diofyn (e.e., newidiwch ef i 2222).
- Dim ond IPs dibynadwy sy'n cael eu caniatáu gan y wal dân
Gall y tair techneg hyn rwystro ymdrechion haciwr yn llwyr.
i grynhoi
Pasio Cynhyrchu allwedd → Ffurfweddu allwedd gyhoeddus → Addasu sshd_config → Ailgychwyn y gwasanaeth → PuTTY i drosi'r allwedd Y camau hyn, eich HestiaCP Gall VPS ddileu'r risg o ymosodiadau grym brwd cyfrinair yn llwyr.
Dim ond ymdrechion ofer gan ymosodwyr yw'r cofnodion "Cyfrinair aflwyddiannus" yn y logiau hynny ac nid ydynt yn dangos bod dilysu cyfrinair yn dal i gael ei alluogi.
Casgliad: Diogelwch yw llinell achub gweinydd.
Ym myd diogelwch gwybodaeth, cyfrineiriau yw'r ddolen fwyaf agored i niwed. Nid dewis technolegol yn unig yw disodli cyfrineiriau ag allweddi, ond hefyd yn adlewyrchiad o gyfrifoldeb a doethineb.
Fel y nodwyd yn y "Papur Gwyn Diogelwch Gwybodaeth": "Nid cost yw diogelwch, ond gwerth."
Felly cymerwch gamau. Rhyddhewch eich VPS o gefynnau cyfrineiriau, a gadewch i ymosodiadau grym brwd hacwyr aros am byth yn y logiau aflwyddiannus.
Blog Chen Weiliang Gobeithio ( https://www.chenweiliang.com/ Efallai y bydd yr erthygl "Sut i Ddatrys Ymosodiadau Brute-Force SSH? Tiwtorial Ymarferol ar Ffurfweddu Dilysu Allweddi VPS gyda HestiaCP," a rennir yma, o gymorth i chi.
Croeso i chi rannu dolen yr erthygl hon:https://www.chenweiliang.com/cwl-34161.html