როგორ ავიცილოთ თავიდან SSH უხეში ძალის შეტევები? პრაქტიკული სახელმძღვანელო VPS გასაღების ავთენტიფიკაციის კონფიგურაციის შესახებ HestiaCP-ის გამოყენებით.

VPS შეტევების 90%-ზე მეტი გამოწვეულია... SSH სუსტი პაროლის უხეში ძალის შეტევათუ სერვერზე პაროლით შედიხართ, ეს ისეთივე საშიშია, როგორც სახლის გასაღების კარზე ჩამოკიდებული დატოვება.

ამ სტატიაში მე ეტაპობრივად გაგიძღვებით, თუ როგორ სრულად დააღწიოთ თავი პაროლის უხეში შეტევების კოშმარს. ჩვენ გავაერთიანებთ... VPS თან ჭუჭყიანი软件ეს სახელმძღვანელო იყენებს ყველაზე პრაქტიკულ ბრძანების ხაზის ინსტრუმენტებს, რათა დაგეხმაროთ თქვენი SSH უსაფრთხოების უმაღლეს დონეზე ამაღლებაში.

რატომ უნდა გამოვიყენოთ გასაღები პაროლის ნაცვლად?

რაც არ უნდა რთული იყოს პაროლი, მისი გატეხვა მაინც შესაძლებელია უხეში ძალის გამოყენებით. ჰაკერებს შეუძლიათ გამოიყენონ ინსტრუმენტები წამში ათიათასობით პაროლის კომბინაციის მოსასინჯად.

და 4096-ბიტიანი RSA გასაღებითეორიულად, მის გატეხვას მილიარდობით წელი დასჭირდება. შედარებისთვის, პაროლი ქაღალდის კარს ჰგავს, გასაღები კი - ფოლადის ჭიშკარს.

ნაბიჯი 1: SSH გასაღების გენერირება

在 Linux ალტერნატიულად, macOS-ზე შეგიძლიათ პირდაპირ შექმნათ 4096-ბიტიანი RSA გასაღებების წყვილი:

ssh-keygen -t rsa -b 4096

ნაგულისხმევი გზის შესანახად დააჭირეთ Enter-ს. /root/.ssh/id_rsa.

შეიყვანეთ პაროლი (არასავალდებულო) ან უბრალოდ დააჭირეთ Enter-ს და დატოვეთ ცარიელი.

სისტემა შექმნის ორ ფაილს:

• პირადი გასაღები:id_rsa
• საჯარო გასაღები:id_rsa.pub

ეს თქვენი „საკეტი“ და „გასაღებია“.

ნაბიჯი 2: სერვერზე საჯარო გასაღების კონფიგურაცია

მოათავსეთ საჯარო გასაღები VPS-ის ლიცენზირებულ დირექტორიაში:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

დარწმუნდით, რომ დირექტორია /root/.ssh/ არსებობს.

ამ გზით, სერვერი მხოლოდ თქვენს საჯარო გასაღებს ამოიცნობს და აღარ იქნება დამოკიდებული პაროლზე.

ნაბიჯი 3: შეცვალეთ SSH კონფიგურაციის ფაილი

კონფიგურაციის ფაილის რედაქტირება:

nano /etc/ssh/sshd_config

შეცვალეთ შემდეგი პარამეტრები:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

ეს ნაბიჯი უმნიშვნელოვანესია: პაროლით შესვლა მთლიანად გამორთეთ.

ნაბიჯი 4: გადატვირთეთ SSH სერვისი

კონფიგურაცია დაუყოვნებლივ ამოქმედდეს:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

სერვისი დადასტურებულია, რომ მუშაობს:

systemctl status sshd

ნაბიჯი 5: Windows-ის მომხმარებლები აკონვერტირებენ გასაღებს PuTTYGen-ის გამოყენებით.

თუ Windows-ს იყენებთ, პირადი გასაღები PuTTY ფორმატში უნდა გადაიყვანოთ:

1. 打開 PuTTYGen
2. დააჭირეთ Load დატვირთვა id_rsa
3. დააჭირეთ შეინახეთ პირადი გასაღები შენახვა როგორც .ppk
4. 在 PuTTY → კავშირი → SSH → ავტორიზაცია აირჩიეთ ეს .ppk ფაილები

ამ გზით, თქვენ შეგიძლიათ უსაფრთხოდ შეხვიდეთ თქვენს VPS-ში PuTTY-ის გამოყენებით.

ნაბიჯი 6: გადაამოწმეთ და დაიცავით თავი უხეში ძალის შეტევებისგან

დაადასტურეთ კონფიგურაციის მოქმედება:

grep "Failed password" /var/log/auth.log

ჟურნალები აჩვენებს მხოლოდ თავდამსხმელის წარუმატებელ მცდელობებს და არა წარმატებულ შესვლას.

შემდგომი დაცვა:

• თანამშრომლობა Fail2Ban თავდამსხმელი IP მისამართების ავტომატური დაბლოკვა
• შეცვალეთ ნაგულისხმევი პორტი (მაგალითად, შეცვალეთ იგი 2222-ზე).
• Firewall-ი მხოლოდ სანდო IP მისამართებს უშვებს

ამ სამ ტექნიკას შეუძლია მთლიანად ჩაშალოს ჰაკერის ძალისხმევა.

რომ შევაჯამოთ

გაივლის გასაღების გენერირება → საჯარო გასაღების კონფიგურაცია → sshd_config-ის შეცვლა → სერვისის გადატვირთვა → PuTTY გასაღების გადასაყვანად ეს ნაბიჯები, თქვენი HestiaCP VPS-ს შეუძლია სრულად აღმოფხვრას პაროლით უხეში შეტევების რისკი.

ამ ჟურნალებში „პაროლის წარუმატებლობის“ ჩანაწერები თავდამსხმელების მიერ უბრალოდ უშედეგო მცდელობებია და არ მიუთითებს იმაზე, რომ პაროლით ავტორიზაცია კვლავ ჩართულია.

დასკვნა: უსაფრთხოება სერვერის სასიცოცხლო მნიშვნელობისაა.

ინფორმაციული უსაფრთხოების სამყაროში პაროლები ყველაზე დაუცველი რგოლია. პაროლების გასაღებით ჩანაცვლება არა მხოლოდ ტექნოლოგიური არჩევანია, არამედ პასუხისმგებლობისა და სიბრძნის გამოხატულებაც.

როგორც „ინფორმაციული უსაფრთხოების თეთრ წიგნშია“ ნათქვამი: „უსაფრთხოება არ არის ხარჯი, არამედ ღირებულება“.

ასე რომ, იმოქმედეთ. გაათავისუფლეთ თქვენი VPS პაროლების მარწუხებისგან და ჰაკერების უხეში შეტევები სამუდამოდ დარჩეს წარუმატებელ ჟურნალებში.