Hvernig á að koma í veg fyrir SSH brute-force árásir? Hagnýt kennsla um að stilla VPS lykilauðkenningu með HestiaCP.

Yfir 90% af VPS árásum eru vegna... SSH veik lykilorð brute-force árásEf þú ert enn að skrá þig inn á netþjóninn með lykilorði, þá er það jafn hættulegt og að skilja húslykilinn eftir hangandi á hurðinni.

Í þessari grein mun ég leiðbeina þér skref fyrir skref til að losna alveg við martröðina sem felst í lykilorðsárásum með brute force. Við munum sameina... VPS á móti PUTTYHugbúnaðurÞessi kennsla notar hagnýtustu skipanalínutólin til að hjálpa þér að lyfta SSH öryggi þínu á hæsta stig.

Af hverju að nota lykilorð í staðinn fyrir lykilorð?

Sama hversu flókið lykilorð er, þá er samt hægt að brjóta það með hörðum höndum. Tölvuþrjótar geta notað verkfæri til að prófa tugþúsundir lykilorðasamsetninga á sekúndu.

og 4096-bita RSA lykillÍ orði kveðnu myndi það taka milljarða ára að brjóta það. Til samanburðar er lykilorð eins og pappírshurð en lykill er stálhlið.

Skref 1: Búa til SSH lykil

Í Linux Einnig er hægt að búa til 4096-bita RSA lykilpar beint á macOS:

ssh-keygen -t rsa -b 4096

Ýttu á Enter til að vista sjálfgefna slóðina. /root/.ssh/id_rsa.

Sláðu inn lykilorð (valfrjálst) eða ýttu einfaldlega á Enter og skildu það eftir autt.

Kerfið mun búa til tvær skrár:

• Einkalykill:id_rsa
• Opinber lykill:id_rsa.pub

Þetta er „lásinn“ og „lykillinn“ þinn.

Skref 2: Stilla opinbera lykilinn að netþjóninum

Settu opinbera lykilinn í leyfisbundna möppu VPS-kerfisins:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Tryggið skrána /root/.ssh/ eru til.

Þannig mun þjónninn aðeins þekkja opinbera lykilinn þinn og mun ekki lengur treysta á lykilorðið.

Skref 3: Breyta SSH stillingarskránni

Breyta stillingarskránni:

nano /etc/ssh/sshd_config

Breyttu eftirfarandi breytum:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Þetta skref er mikilvægt: slökkva alveg á innskráningu með lykilorði.

Skref 4: Endurræsa SSH þjónustuna

Láttu stillinguna taka gildi strax:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Staðfest hefur verið að þjónustan sé í gangi:

systemctl status sshd

Skref 5: Windows notendur umbreyta lyklinum með PuTTYGen.

Ef þú ert að nota Windows þarftu að breyta einkalyklinum í PuTTY snið:

1. kveikja á PuTTYGen
2. Smellur hlaða hlaða id_rsa
3. Smellur Vista einkalykil Vista sem .ppk
4. Í PuTTY → Tenging → SSH → Heimild Veldu þetta .ppk Skrá

Þannig geturðu skráð þig inn á VPS þjóninn þinn á öruggan hátt með PuTTY.

Skref 6: Staðfesta og verjast ofbeldisárásum

Staðfesta að stillingin sé í gildi:

grep "Failed password" /var/log/auth.log

Skrárnar sýna aðeins misheppnaðar tilraunir árásarmannsins, ekki vel heppnaðar innskráningar.

Frekari vörn:

• Vinna með Fail2Ban Lokaðu sjálfkrafa á árásargjarnar IP-tölur
• Breyttu sjálfgefna tengið (t.d. breyttu því í 2222).
• Eldveggur leyfir aðeins traustar IP-tölur

Þessar þrjár aðferðir geta algjörlega hindrað viðleitni tölvuþrjóta.

总结

Pass Búa til lykil → Stilla opinberan lykil → Breyta sshd_config → Endurræsa þjónustuna → PuTTY til að umbreyta lyklinum Þessi skref, þín HestiaCP VPS getur útrýmt alveg hættunni á lykilorðsárásum.

Færslurnar „Mistókst lykilorð“ í þessum skrám eru einungis tilgangslausar tilraunir árásarmanna og gefa ekki til kynna að lykilorðsstaðfesting sé enn virk.

Niðurstaða: Öryggi er líflína netþjóns.

Í heimi upplýsingaöryggis eru lykilorð viðkvæmasti hlekkurinn. Að skipta út lykilorðum fyrir lykla er ekki bara tæknileg ákvörðun, heldur einnig endurspeglun á ábyrgð og visku.

Eins og fram kemur í „Hvítbók um upplýsingaöryggi“: „Öryggi er ekki kostnaður, heldur gildi.“

Svo gríptu til aðgerða. Losaðu VPS-þjóninn þinn úr fjötrum lykilorða og láttu árásir tölvuþrjóta vera geymdar að eilífu í misheppnuðum skrám.