តើធ្វើដូចម្តេចដើម្បីការពារការវាយប្រហារដោយកម្លាំង SSH? ការបង្រៀនជាក់ស្តែងអំពីការកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់កូនសោ VPS ជាមួយ HestiaCP។

ការវាយប្រហារ VPS ជាង 90% គឺដោយសារតែ... ការវាយប្រហារដោយកម្លាំង brute-force លើពាក្យសម្ងាត់ខ្សោយរបស់ SSHប្រសិនបើអ្នកនៅតែចូលទៅក្នុងម៉ាស៊ីនមេដោយប្រើពាក្យសម្ងាត់ វាមានគ្រោះថ្នាក់ដូចការទុកកូនសោផ្ទះរបស់អ្នកព្យួរនៅលើទ្វារដែរ។

នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងណែនាំអ្នកមួយជំហានម្តងៗ ដើម្បីគេចផុតពីសុបិន្តអាក្រក់នៃការវាយប្រហារពាក្យសម្ងាត់ដោយប្រើកម្លាំង brute-force។ យើងនឹងបញ្ចូលគ្នា... ការ VPS ប្រឆាំង​នឹង​ទល់​នឹង PuTTY软件។ឯកសារបង្រៀននេះប្រើប្រាស់ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាជាក់ស្តែងបំផុត ដើម្បីជួយអ្នកលើកកម្ពស់សុវត្ថិភាព SSH របស់អ្នកដល់កម្រិតខ្ពស់បំផុត។

ហេតុអ្វីបានជាប្រើកូនសោជំនួសឱ្យពាក្យសម្ងាត់?

មិនថាពាក្យសម្ងាត់ស្មុគស្មាញប៉ុណ្ណាទេ វានៅតែអាចត្រូវបានបំបែកដោយកម្លាំងឃោរឃៅ។ ពួក Hacker អាចប្រើឧបករណ៍ដើម្បីសាកល្បងបន្សំពាក្យសម្ងាត់រាប់ម៉ឺនក្នុងមួយវិនាទី។

និង សោ RSA ៤០៩៦ ប៊ីតតាមទ្រឹស្ដី វាត្រូវចំណាយពេលរាប់ពាន់លានឆ្នាំដើម្បីបំបែក។ បើប្រៀបធៀប ពាក្យសម្ងាត់គឺដូចជាទ្វារក្រដាស ខណៈពេលដែលសោគឺដូចជាទ្វារដែក។

ជំហានទី 1: បង្កើតសោ SSH

在។ Linux ជាជម្រើសមួយ នៅលើ macOS អ្នកអាចបង្កើតគូសោ RSA ទំហំ 4096 ប៊ីតដោយផ្ទាល់៖

ssh-keygen -t rsa -b 4096

ចុច Enter ដើម្បីរក្សាទុកផ្លូវលំនាំដើម។ /root/.ssh/id_rsa។

បញ្ចូលពាក្យសម្ងាត់ (ស្រេចចិត្ត) ឬគ្រាន់តែចុច Enter ហើយទុកវាឱ្យនៅទទេ។

ប្រព័ន្ធនឹងបង្កើតឯកសារពីរ៖

• សោឯកជន៖id_rsa
• កូនសោសាធារណៈ៖id_rsa.pub

នេះគឺជា "សោ" និង "កូនសោ" របស់អ្នក។

ជំហានទី 2: កំណត់រចនាសម្ព័ន្ធកូនសោសាធារណៈទៅកាន់ម៉ាស៊ីនមេ

ដាក់កូនសោសាធារណៈនៅក្នុងថតឯកសារដែលមានអាជ្ញាប័ណ្ណរបស់ VPS៖

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

ត្រូវប្រាកដថាថតឯកសារ /root/.ssh/ មាន។

តាមវិធីនេះ ម៉ាស៊ីនបម្រើនឹងស្គាល់តែកូនសោសាធារណៈរបស់អ្នកប៉ុណ្ណោះ ហើយនឹងលែងពឹងផ្អែកលើពាក្យសម្ងាត់ទៀតហើយ។

ជំហានទី 3: កែប្រែឯកសារកំណត់រចនាសម្ព័ន្ធ SSH

កែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធ៖

nano /etc/ssh/sshd_config

កែប្រែប៉ារ៉ាម៉ែត្រខាងក្រោម៖

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

ជំហាននេះមានសារៈសំខាន់ណាស់៖ បិទការចូលដោយប្រើពាក្យសម្ងាត់ទាំងស្រុង។

ជំហានទី 4: ចាប់ផ្ដើមសេវា SSH ឡើងវិញ

ធ្វើឱ្យការកំណត់រចនាសម្ព័ន្ធមានប្រសិទ្ធភាពភ្លាមៗ៖

• CentOS7:

systemctl restart sshd

• អ៊ូប៊ុនទូ / ដេបៀន:

systemctl restart ssh

សេវាកម្មត្រូវបានបញ្ជាក់ថាកំពុងដំណើរការ៖

systemctl status sshd

ជំហានទី 5: អ្នកប្រើប្រាស់ Windows បំលែងសោដោយប្រើ PuTTYGen។

ប្រសិនបើអ្នកកំពុងប្រើ Windows អ្នកត្រូវបម្លែង private key ទៅជាទម្រង់ PuTTY៖

1. បើក PuTTYGen
2. ចុចលើ ផ្ទុក ផ្ទុក id_rsa
3. ចុចលើ រក្សាទុកសោឯកជន រក្សាទុកជា .ppk
4. 在។ PuTTY → ការតភ្ជាប់ → SSH → ការអនុញ្ញាត ជ្រើសរើស​នេះ .ppk ឯកសារ

វិធីនេះ អ្នកអាចចូលទៅក្នុង VPS របស់អ្នកដោយសុវត្ថិភាពដោយប្រើ PuTTY។

ជំហានទី 6: ផ្ទៀងផ្ទាត់ និងការពារប្រឆាំងនឹងការវាយប្រហារដោយកម្លាំងព្រៃផ្សៃ

បញ្ជាក់ថាការកំណត់រចនាសម្ព័ន្ធមានប្រសិទ្ធភាព៖

grep "Failed password" /var/log/auth.log

កំណត់ហេតុនឹងបង្ហាញតែការប៉ុនប៉ងបរាជ័យរបស់អ្នកវាយប្រហារប៉ុណ្ណោះ មិនមែនការចូលដោយជោគជ័យទេ។

ការការពារបន្ថែមទៀត៖

• សហការ Fail2Ban រារាំងការវាយប្រហារ IP ដោយស្វ័យប្រវត្តិ
• ផ្លាស់ប្តូរច្រកលំនាំដើម (ឧទាហរណ៍ ផ្លាស់ប្តូរវាទៅ 2222)។
• ជញ្ជាំងភ្លើងអនុញ្ញាតតែ IP ដែលទុកចិត្តប៉ុណ្ណោះ

បច្ចេកទេសទាំងបីនេះអាចរារាំងកិច្ចខិតខំប្រឹងប្រែងរបស់ពួក Hacker បានទាំងស្រុង។

总结

ឆ្លងកាត់ បង្កើតសោ → កំណត់រចនាសម្ព័ន្ធសោសាធារណៈ → កែប្រែ sshd_config → ចាប់ផ្តើមសេវាកម្មឡើងវិញ → PuTTY ដើម្បីបំលែងសោ ជំហានទាំងនេះរបស់អ្នក HestiaCP VPS អាចលុបបំបាត់ហានិភ័យនៃការវាយប្រហារដោយប្រើពាក្យសម្ងាត់បានទាំងស្រុង។

ធាតុ "ពាក្យសម្ងាត់បរាជ័យ" នៅក្នុងកំណត់ហេតុទាំងនោះគ្រាន់តែជាការប៉ុនប៉ងឥតប្រយោជន៍ដោយអ្នកវាយប្រហារ ហើយមិនបង្ហាញថាការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់នៅតែត្រូវបានបើកដំណើរការនោះទេ។

សេចក្តីសន្និដ្ឋាន៖ សុវត្ថិភាពគឺជាខ្សែជីវិតរបស់ម៉ាស៊ីនមេ។

នៅក្នុងពិភពនៃសុវត្ថិភាពព័ត៌មាន ពាក្យសម្ងាត់គឺជាតំណភ្ជាប់ដែលងាយរងគ្រោះបំផុត។ ការជំនួសពាក្យសម្ងាត់ដោយកូនសោមិនមែនគ្រាន់តែជាជម្រើសបច្ចេកវិទ្យាប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏ជាការឆ្លុះបញ្ចាំងពីការទទួលខុសត្រូវ និងប្រាជ្ញាផងដែរ។

ដូចដែលបានរៀបរាប់នៅក្នុង "សៀវភៅសស្តីពីសន្តិសុខព័ត៌មាន"៖ "សន្តិសុខមិនមែនជាការចំណាយទេ ប៉ុន្តែជាតម្លៃ"។

ដូច្នេះ ចូរចាត់វិធានការ។ ដោះលែង VPS របស់អ្នកពីច្រវាក់នៃពាក្យសម្ងាត់ ហើយអនុញ្ញាតឱ្យការវាយប្រហារដោយកម្លាំងរបស់ពួក Hacker នៅតែមានជារៀងរហូតនៅក្នុងកំណត់ហេតុដែលបរាជ័យ។