SSH чабуулдарынын алдын кантип алса болот? HestiaCP менен VPS ачкычын аутентификациялоону конфигурациялоо боюнча практикалык окуу куралы.

VPS чабуулдарынын 90% дан ашыгы... SSH алсыз сырсөзүн орой күч менен чабуул кылууЭгер сиз дагы эле серверге сырсөз менен кирип жатсаңыз, бул үйүңүздүн ачкычын эшикке илип койгондой эле кооптуу.

Бул макалада мен сизге күч колдонуу менен жасалган сырсөз чабуулдарынан толугу менен кутулуу үчүн этап-этабы менен көрсөтмө берем. Биз бириктиребиз... VPS каршы шпаклевка软件Бул окуу куралы SSH коопсуздугуңузду эң жогорку деңгээлге көтөрүүгө жардам берүү үчүн эң практикалык буйрук сабынын куралдарын колдонот.

Эмне үчүн сырсөздүн ордуна ачкычты колдонуш керек?

Сырсөз канчалык татаал болбосун, аны күч менен бузууга болот. Хакерлер куралдарды колдонуп, секундасына он миңдеген сырсөз айкалыштарын сынап көрө алышат.

жана 4096-биттик RSA ачкычыТеория боюнча, аны ачуу үчүн миллиарддаган жылдар талап кылынат. Салыштырмалуу, сырсөз кагаз эшик сыяктуу, ал эми ачкыч болот дарбаза сыяктуу.

1-кадам: SSH ачкычын түзүү

боюнча Linux Же болбосо, macOS'то сиз 4096-биттик RSA ачкыч жубун түзө аласыз:

ssh-keygen -t rsa -b 4096

Демейки жолду сактоо үчүн Enter баскычын басыңыз. /root/.ssh/id_rsa.

Сырсөздү киргизиңиз (милдеттүү эмес) же жөн гана Enter баскычын басып, аны бош калтырыңыз.

Система эки файлды түзөт:

• Жеке ачкыч:id_rsa
• Ачык ачкыч:id_rsa.pub

Бул сиздин "кулпуңуз" жана "ачкычыңыз".

2-кадам: Сервердеги ачык ачкычты конфигурациялаңыз

Ачык ачкычты VPSтин лицензияланган каталогуна жайгаштырыңыз:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Каталогду камсыз кылуу /root/.ssh/ бар.

Ошентип, сервер сиздин ачык ачкычыңызды гана тааныйт жана мындан ары сырсөзгө таянбайт.

3-кадам: SSH конфигурация файлын өзгөртүү

Конфигурация файлын түзөтүңүз:

nano /etc/ssh/sshd_config

Төмөнкү параметрлерди өзгөртүү:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Бул кадам абдан маанилүү: сырсөз менен кирүү мүмкүнчүлүгүн толугу менен өчүрүү.

4-кадам: SSH кызматын өчүрүп-күйгүзүңүз

Конфигурацияны дароо күчүнө киргизиңиз:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Кызмат иштеп жатканы тастыкталды:

systemctl status sshd

5-кадам: Windows колдонуучулары ачкычты PuTTYGen аркылуу өзгөртүшөт.

Эгер сиз Windows колдонуп жатсаңыз, жеке ачкычты PuTTY форматына айландырышыңыз керек:

1. күйгүзүү PuTTYGen
2. 点击 жүк жүктөө id_rsa
3. 点击 Жеке ачкычты сактаңыз Сактоо катары .ppk
4. боюнча PuTTY → Туташуу → SSH → Авторизация Муну тандаңыз .ppk 文件

Ошентип, сиз PuTTY аркылуу VPSке коопсуз кире аласыз.

6-кадам: Күч ​​чабуулдарынан текшерүү жана коргонуу

Конфигурациянын күчүндө экенин ырастаңыз:

grep "Failed password" /var/log/auth.log

Журналдар чабуулчунун ийгиликтүү кирүүлөрүн эмес, ийгиликсиз аракеттерин гана көрсөтөт.

Андан ары коргонуу:

• Кызматташуу Fail2Ban Чабуулчу IP даректерди автоматтык түрдө бөгөттөө
• Демейки портту өзгөртүңүз (мисалы, аны 2222 кылып өзгөртүңүз).
• Брандмауэр ишенимдүү IP даректерге гана уруксат берет

Бул үч ыкма хакердин аракеттерин толугу менен жокко чыгара алат.

总结

менен Ачкычты түзүү → Ачык ачкычты конфигурациялоо → sshd_config өзгөртүү → Кызматты кайра иштетүү → Ачкычты конвертациялоо үчүн PuTTY Бул кадамдар, сиздин HestiaCP VPS сырсөздү күч менен бузуу коркунучун толугу менен жок кыла алат.

Ал журналдардагы "Сырсөз туура эмес киргизилди" деген жазуулар чабуулчулардын жөн гана пайдасыз аракеттери жана сырсөздү текшерүү дагы эле иштетилгенин билдирбейт.

Жыйынтык: Коопсуздук - бул сервердин жашоо булагы.

Маалыматтык коопсуздук дүйнөсүндө сырсөздөр эң аялуу звено болуп саналат. Сырсөздөрдү ачкычтар менен алмаштыруу жөн гана технологиялык тандоо эмес, ошондой эле жоопкерчиликтин жана акылмандыктын чагылышы.

"Маалыматтык коопсуздук боюнча ак китепте" айтылгандай: "Коопсуздук - бул чыгым эмес, баалуулук".

Андыктан чара көрүңүз. VPS'иңизди сырсөздөрдүн кишенинен бошотуңуз жана хакерлердин күч менен жасалган чабуулдары ийгиликсиз журналдарда түбөлүккө калсын.