Nola saihestu SSH indar gordineko erasoak? HestiaCP-rekin VPS gakoen autentifikazioa konfiguratzeko tutorial praktikoa.

VPS erasoen % 90 baino gehiago honen ondorio dira... SSH pasahitz ahularen aurkako indar gordiaren erasoaZerbitzarian pasahitzarekin saioa hasten jarraitzen baduzu, etxeko giltza atean zintzilik uztea bezain arriskutsua da.

Artikulu honetan, urratsez urrats gidatuko zaitut indar gordineko pasahitz erasoen amesgaiztotik guztiz ihes egiteko. Konbinatuko ditugu... VPS aurka plastilina软件Tutorial honek komando-lerroko tresnarik praktikoenak erabiltzen ditu zure SSH segurtasuna maila gorenera igotzen laguntzeko.

Zergatik erabili gako bat pasahitz baten ordez?

Pasahitz bat zenbateraino konplexua izan arren, indar gordinaren bidez hautsi daiteke. Hackerrek tresnak erabil ditzakete segundoko hamar milaka pasahitz konbinazio probatzeko.

eta 4096 biteko RSA gakoaTeorian, milaka milioi urte beharko lirateke hausteko. Alderatuz gero, pasahitz bat paperezko ate baten antzekoa da, eta giltza, berriz, altzairuzko ate bat.

1. urratsa: SSH gakoa sortu

在 Linux Bestela, macOS-en, 4096 biteko RSA gako pare bat zuzenean sor dezakezu:

ssh-keygen -t rsa -b 4096

Sakatu Sartu bide lehenetsia gordetzeko. /root/.ssh/id_rsa.

Sartu pasahitz bat (aukerakoa), edo sakatu Sartu eta utzi hutsik.

Sistemak bi fitxategi sortuko ditu:

• Gako pribatua:id_rsa
• Gako publikoa:id_rsa.pub

Hau da zure "giltzarrapoa" eta "giltza".

2. urratsa: Konfiguratu gako publikoa zerbitzarian

Jarri gako publikoa VPSaren lizentziadun direktorioan:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Ziurtatu direktorioa. /root/.ssh/ existitu.

Horrela, zerbitzariak zure gako publikoa bakarrik ezagutuko du eta ez du gehiago pasahitzaren menpe egongo.

3. urratsa: SSH konfigurazio fitxategia aldatu

Editatu konfigurazio fitxategia:

nano /etc/ssh/sshd_config

Aldatu parametro hauek:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Urrats hau funtsezkoa da: desgaitu pasahitzarekin saioa hasteko erabat.

4. urratsa: Berrabiarazi SSH zerbitzua

Konfigurazioa berehala indarrean jarri dadin:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Zerbitzua martxan dagoela baieztatu da:

systemctl status sshd

5. urratsa: Windows erabiltzaileek PuTTYGen erabiliz bihurtzen dute gakoa.

Windows erabiltzen ari bazara, gako pribatua PuTTY formatura bihurtu behar duzu:

1. 打开 PuTTYGen
2. Klikatu Karga 加载 id_rsa
3. Klikatu Gorde gako pribatua Gorde honela .ppk
4. 在 PuTTY → Konexioa → SSH → Autentifikazioa Hautatu hau .ppk 文件

Horrela, zure VPS-an saioa modu seguruan hasi dezakezu PuTTY erabiliz.

6. urratsa: Egiaztatu eta babestu indar gordineko erasoen aurka

Konfigurazioa indarrean dagoela baieztatu:

grep "Failed password" /var/log/auth.log

Erregistroek erasotzailearen saiakera hutsalak bakarrik erakutsiko dituzte, ez saio-hasiera arrakastatsuak.

Defentsa gehiago:

• 配合 Fail2Ban Blokeatu automatikoki erasotzen duten IPak
• Aldatu lehenetsitako ataka (adibidez, aldatu 2222ra).
• Suebakiak IP fidagarriak bakarrik onartzen ditu

Hiru teknika hauek hacker baten ahaleginak erabat zapuztu ditzakete.

Laburpena

by Gakoa sortu → Gako publikoa konfiguratu → sshd_config aldatu → Zerbitzua berrabiarazi → PuTTY gakoa bihurtzeko Urrats hauek, zure HestiaCP VPS batek pasahitzaren indar gordineko erasoen arriskua erabat ezaba dezake.

Erregistro horietako "Pasahitz huts egin du" sarrerak erasotzaileen saiakera hutsalak baino ez dira eta ez dute adierazten pasahitz autentifikazioa oraindik gaituta dagoenik.

Ondorioa: Segurtasuna zerbitzari baten biziraupena da.

Informazioaren segurtasunaren munduan, pasahitzak dira katebegirik ahulena. Pasahitzak giltzekin ordezkatzea ez da aukera teknologiko bat bakarrik, baita erantzukizunaren eta jakinduriaren isla ere.

"Informazioaren Segurtasunaren Liburu Zurian" adierazten den bezala: "Segurtasuna ez da kostu bat, balio bat baizik".

Beraz, ekin iezaiozu. Askatu zure VPSa pasahitzen kateetatik, eta utzi hackerren indar gordineko erasoak betiko huts egiten duten erregistroetan geratzen.