Kiel preventi SSH-ajn krudfortajn atakojn? Praktika lernilo pri agordado de VPS-ŝlosila aŭtentigo per HestiaCP.

Pli ol 90% de VPS-atakoj ŝuldiĝas al... SSH-atako per kruda forto kontraŭ malforta pasvortoSe vi ankoraŭ ensalutas al la servilo per pasvorto, ĝi estas same danĝera kiel lasi vian domŝlosilon pendanta sur la pordo.

En ĉi tiu artikolo, mi gvidos vin paŝon post paŝo por tute eskapi la koŝmaron de krudfortaj pasvortaj atakoj. Ni kombinos... VPS kontraŭ PUTTYProgramaroĈi tiu lernilo uzas la plej praktikajn komandliniajn ilojn por helpi vin levi vian SSH-sekurecon al la plej alta nivelo.

Kial uzi ŝlosilon anstataŭ pasvorton?

Ne gravas kiom kompleksa estas pasvorto, ĝi tamen povas esti fendita per kruda forto. Retpiratoj povas uzi ilojn por provi dekojn da miloj da pasvortkombinaĵoj ĉiusekunde.

kaj 4096-bita RSA-ŝlosiloTeorie, ĝi daŭrus miliardojn da jaroj por fendi ĝin. Kompare, pasvorto estas kiel papera pordo, dum ŝlosilo estas ŝtala pordego.

Paŝo 1: Generi SSH-ŝlosilon

En linux Alternative, en macOS, vi povas rekte generi 4096-bitan RSA-ŝlosilparon:

ssh-keygen -t rsa -b 4096

Premu Enter por konservi la defaŭltan vojon. /root/.ssh/id_rsa.

Enigu pasvorton (nedeviga), aŭ simple premu Enter kaj lasu ĝin malplena.

La sistemo generos du dosierojn:

• Privata ŝlosilo:id_rsa
• Publika ŝlosilo:id_rsa.pub

Jen via "seruro" kaj "ŝlosilo".

Paŝo 2: Agordu la publikan ŝlosilon sur la servilo

Metu la publikan ŝlosilon en la rajtigitan dosierujon de la VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Certigu la dosierujon /root/.ssh/ ekzisti.

Tielmaniere, la servilo nur rekonos vian publikan ŝlosilon kaj jam ne plu dependos de la pasvorto.

Paŝo 3: Modifu la SSH-agordodosieron

Redaktu la agordodosieron:

nano /etc/ssh/sshd_config

Modifi la sekvajn parametrojn:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Ĉi tiu paŝo estas decida: tute malŝalti pasvortan ensaluton.

Paŝo 4: Rekomencu la SSH-servon

Igu la agordon tuj efiki:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

La servo estas konfirmita kiel funkcianta:

systemctl status sshd

Paŝo 5: Vindozaj uzantoj konvertas la ŝlosilon per PuTTYGen.

Se vi uzas Vindozon, vi bezonas konverti la privatan ŝlosilon al PuTTY-formato:

1. ŝalti PuTTYGen
2. 点击 ŝarĝo 加载 id_rsa
3. 点击 Konservu privatan ŝlosilon Konservi kiel .ppk
4. En PuTTY → Konekto → SSH → Aŭtorizo Elektu ĉi tion .ppk 文件

Tiel vi povas sekure ensaluti al via VPS uzante PuTTY.

Paŝo 6: Kontrolu kaj defendu kontraŭ krudfortaj atakoj

Konfirmu ke la agordo validas:

grep "Failed password" /var/log/auth.log

La protokoloj nur montros la malsukcesajn provojn de la atakanto, ne sukcesajn ensalutojn.

Plia defendo:

• Kunlabori Fail2Ban Aŭtomate bloki atakantajn IP-adresojn
• Ŝanĝu la defaŭltan pordon (ekz., ŝanĝu ĝin al 2222).
• Fajromuro nur permesas fidindajn IP-adresojn

Ĉi tiuj tri teknikoj povas tute malsukcesigi la klopodojn de retpirato.

resumo

per Generi ŝlosilon → Agordi publikan ŝlosilon → Modifi sshd_config → Rekomenci servon → PuTTY por konverti ŝlosilon Ĉi tiuj paŝoj, viaj HestiaCP VPS povas tute forigi la riskon de krudfortaj atakoj per pasvorto.

La "Malsukcesa pasvorto" enskriboj en tiuj protokoloj estas nur vanaj provoj de atakantoj kaj ne indikas, ke pasvorta aŭtentikigo ankoraŭ estas ebligita.

Konkludo: Sekureco estas la savŝnuro de servilo.

En la mondo de informa sekureco, pasvortoj estas la plej vundebla ligo. Anstataŭigi pasvortojn per ŝlosiloj ne estas nur teknologia elekto, sed ankaŭ reflekto de respondeco kaj saĝo.

Kiel deklarite en la "Blanka Libro pri Informa Sekureco": "Sekureco ne estas kosto, sed valoro."

Do agu. Liberigu vian VPS-on de la katenoj de pasvortoj, kaj lasu la krudfortajn atakojn de retpiratoj resti eterne en la malsukcesaj protokoloj.