Kuinka estää SSH-brute-force-hyökkäykset? Käytännönläheinen opas VPS-avaimen todennuksen määrittämiseen HestiaCP:n avulla.

Yli 90 % VPS-hyökkäyksistä johtuu... SSH:n heikko salasana raa'alla voimalla hyökkäysJos kirjaudut edelleen palvelimelle salasanalla, se on yhtä vaarallista kuin jättää kotiavaimesi roikkumaan oveen.

Tässä artikkelissa opastan sinua askel askeleelta, jotta pääset täysin eroon raa'an voiman salasanahyökkäysten painajaisesta. Yhdistämme... VPS 与 PuTTY软件Tämä opetusohjelma käyttää käytännöllisimpiä komentorivityökaluja, joiden avulla voit nostaa SSH-tietoturvasi korkeimmalle tasolle.

Miksi käyttää avainta salasanan sijaan?

Olipa salasana kuinka monimutkainen tahansa, se voidaan murtaa raa'alla voimalla. Hakkerit voivat käyttää työkaluja kokeillakseen kymmeniätuhansia salasanayhdistelmiä sekunnissa.

ja 4096-bittinen RSA-avainTeoriassa sen murtaminen veisi miljardeja vuosia. Vertailun vuoksi salasana on kuin paperiovi, kun taas avain on kuin teräsportti.

Vaihe 1: Luo SSH-avain

在 Linux Vaihtoehtoisesti macOS:ssä voit suoraan luoda 4096-bittisen RSA-avainparin:

ssh-keygen -t rsa -b 4096

Tallenna oletuspolku painamalla Enter-näppäintä. /root/.ssh/id_rsa.

Anna salasana (valinnainen) tai paina Enter-näppäintä ja jätä se tyhjäksi.

Järjestelmä luo kaksi tiedostoa:

• Yksityinen avain:id_rsa
• Julkinen avain:id_rsa.pub

Tämä on sinun "lukkosi" ja "avaimesi".

Vaihe 2: Määritä julkinen avain palvelimelle

Sijoita julkinen avain VPS:n lisensoituun hakemistoon:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Varmista, että hakemisto /root/.ssh/ olemassa.

Tällä tavoin palvelin tunnistaa vain julkisen avaimesi eikä enää ole riippuvainen salasanasta.

Vaihe 3: Muokkaa SSH-määritystiedostoa

Muokkaa määritystiedostoa:

nano /etc/ssh/sshd_config

Muokkaa seuraavia parametreja:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Tämä vaihe on ratkaisevan tärkeä: poista salasanakirjautuminen kokonaan käytöstä.

Vaihe 4: Käynnistä SSH-palvelu uudelleen

Aseta asetukset voimaan välittömästi:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Palvelu on vahvistettu toimimaan:

systemctl status sshd

Vaihe 5: Windows-käyttäjät muuntavat avaimen PuTTYGenillä.

Jos käytät Windowsia, sinun on muunnettava yksityinen avain PuTTY-muotoon:

1. kiihottua PuTTYGen
2. 点击 Ladata ladata id_rsa
3. 点击 Tallenna yksityinen avain Tallenna nimellä .ppk
4. 在 PuTTY → Yhteys → SSH → Todennus Valitse tämä .ppk tiedosto

Tällä tavoin voit kirjautua turvallisesti VPS:ään PuTTY:n avulla.

Vaihe 6: Tarkista ja puolustaudu raa'alla voimalla tehtäviä hyökkäyksiä vastaan

Vahvista, että kokoonpano on voimassa:

grep "Failed password" /var/log/auth.log

Lokitiedoissa näkyvät vain hyökkääjän epäonnistuneet yritykset, eivät onnistuneita kirjautumisia.

Lisäpuolustus:

• Tehdä yhteistyötä Fail2Ban Estä hyökkäävät IP-osoitteet automaattisesti
• Muuta oletusporttia (esim. vaihda se arvoon 2222).
• Palomuuri sallii vain luotettavat IP-osoitteet

Nämä kolme tekniikkaa voivat täysin estää hakkerin yritykset.

yhteenveto

mennessä Luo avain → Määritä julkinen avain → Muokkaa sshd_config-tiedostoa → Käynnistä palvelu uudelleen → PuTTY avaimen muuntamiseksi Nämä vaiheet, sinun HestiaCP VPS voi poistaa täysin salasanan raa'an voiman hyökkäysten riskin.

Näiden lokien "Salasanan syöttäminen epäonnistui" -merkinnät ovat vain hyökkääjien turhia yrityksiä, eivätkä ne osoita, että salasanan todennus on edelleen käytössä.

Johtopäätös: Tietoturva on palvelimen elinehto.

Tietoturvan maailmassa salasanat ovat haavoittuvin lenkki. Salasanojen korvaaminen avaimilla ei ole vain teknologinen valinta, vaan myös vastuullisuuden ja viisauden osoitus.

Kuten "Tietoturvallisuuden valkoisessa kirjassa" todetaan: "Turvallisuus ei ole kustannus, vaan arvo."

Ryhdy siis toimiin. Vapauta VPS:si salasanojen kahleista ja anna hakkereiden raa'an voiman hyökkäysten jäädä ikuisesti epäonnistuneisiin lokitietoihin.