ວິທີການປ້ອງກັນການໂຈມຕີແບບ brute-force ຂອງ SSH? ບົດແນະນຳການປະຕິບັດຕົວຈິງກ່ຽວກັບການຕັ້ງຄ່າການພິສູດຢືນຢັນຄີ VPS ດ້ວຍ HestiaCP.

ຫຼາຍກວ່າ 90% ຂອງການໂຈມຕີ VPS ແມ່ນເກີດຈາກ... ການໂຈມຕີແບບ brute-force ດ້ວຍລະຫັດຜ່ານ SSH ທີ່ອ່ອນແອຖ້າທ່ານຍັງເຂົ້າສູ່ລະບົບເຊີບເວີດ້ວຍລະຫັດຜ່ານ, ມັນເປັນອັນຕະລາຍຄືກັບການປະກະແຈເຮືອນຂອງທ່ານໄວ້ທີ່ປະຕູ.

ໃນບົດຄວາມນີ້, ຂ້ອຍຈະແນະນໍາທ່ານເທື່ອລະຂັ້ນຕອນເພື່ອຫຼີກລ່ຽງຝັນຮ້າຍຂອງການໂຈມຕີລະຫັດຜ່ານແບບ brute-force. ພວກເຮົາຈະລວມ... VPS ທຽບກັບ Puttyຊອບແວບົດແນະນຳນີ້ໃຊ້ເຄື່ອງມືບັນທັດຄຳສັ່ງທີ່ໃຊ້ໄດ້ຈິງທີ່ສຸດເພື່ອຊ່ວຍທ່ານຍົກລະດັບຄວາມປອດໄພ SSH ຂອງທ່ານໃຫ້ສູງຂຶ້ນ.

ເປັນຫຍັງຕ້ອງໃຊ້ລະຫັດແທນລະຫັດຜ່ານ?

ບໍ່ວ່າລະຫັດຜ່ານຈະສັບສົນປານໃດກໍຕາມ, ມັນກໍຍັງສາມາດແຕກໄດ້ດ້ວຍກຳລັງທີ່ໂຫດຮ້າຍ. ແຮກເກີສາມາດໃຊ້ເຄື່ອງມືເພື່ອລອງໃຊ້ລະຫັດປະສົມປະສານຫຼາຍສິບພັນລະຫັດຕໍ່ວິນາທີ.

ແລະ ຄີ RSA 4096 ບິດໃນທາງທິດສະດີ, ມັນຈະໃຊ້ເວລາຫຼາຍພັນລ້ານປີເພື່ອແຕກ. ເມື່ອປຽບທຽບກັນແລ້ວ, ລະຫັດຜ່ານຄືກັບປະຕູເຈ້ຍ, ໃນຂະນະທີ່ກະແຈຄືກັບປະຕູເຫຼັກ.

ຂັ້ນຕອນທີ 1: ສ້າງລະຫັດ SSH

在 Linux ອີກທາງເລືອກໜຶ່ງ, ໃນ macOS, ທ່ານສາມາດສ້າງຄູ່ຄີ RSA 4096 ບິດໂດຍກົງໄດ້:

ssh-keygen -t rsa -b 4096

ກົດ Enter ເພື່ອບັນທຶກເສັ້ນທາງເລີ່ມຕົ້ນ. /root/.ssh/id_rsa.

ໃສ່ລະຫັດຜ່ານ (ທາງເລືອກ), ຫຼືພຽງແຕ່ກົດ Enter ແລະປ່ອຍໃຫ້ມັນວ່າງໄວ້.

ລະບົບຈະສ້າງສອງໄຟລ໌ຄື:

• ລະຫັດສ່ວນຕົວ:id_rsa
• ກະແຈສາທາລະນະ:id_rsa.pub

ນີ້ແມ່ນ "ກະແຈ" ແລະ "ກະແຈ" ຂອງເຈົ້າ.

ຂັ້ນຕອນທີ 2: ຕັ້ງຄ່າກະແຈສາທາລະນະໃນເຊີບເວີ

ວາງລະຫັດສາທາລະນະໄວ້ໃນໄດເລກະທໍລີທີ່ໄດ້ຮັບອະນຸຍາດຂອງ VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

ຮັບປະກັນລາຍຊື່ /root/.ssh/ ມີຢູ່.

ດ້ວຍວິທີນີ້, ເຊີບເວີຈະຮັບຮູ້ພຽງແຕ່ລະຫັດສາທາລະນະຂອງທ່ານເທົ່ານັ້ນ ແລະ ຈະບໍ່ອີງໃສ່ລະຫັດຜ່ານອີກຕໍ່ໄປ.

ຂັ້ນຕອນທີ 3: ດັດແປງໄຟລ໌ການຕັ້ງຄ່າ SSH

ແກ້ໄຂໄຟລ໌ການຕັ້ງຄ່າ:

nano /etc/ssh/sshd_config

ແກ້ໄຂຕົວກໍານົດການຕໍ່ໄປນີ້:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

ຂັ້ນຕອນນີ້ແມ່ນສຳຄັນຫຼາຍ: ປິດການໃຊ້ງານລະຫັດຜ່ານເຂົ້າສູ່ລະບົບຢ່າງສິ້ນເຊີງ.

ຂັ້ນຕອນທີ 4: ເລີ່ມການບໍລິການ SSH ຄືນໃໝ່

ເຮັດໃຫ້ການຕັ້ງຄ່າມີຜົນບັງຄັບໃຊ້ທັນທີ:

• CentOS7ທ່ານ ອາຊື ກອນສິນ ນັກທຸລະກິດລາວ

systemctl restart sshd

• Ubuntu / Debianທ່ານ ອາຊື ກອນສິນ ນັກທຸລະກິດລາວ

systemctl restart ssh

ການບໍລິການໄດ້ຮັບການຢືນຢັນວ່າກຳລັງດຳເນີນການຢູ່:

systemctl status sshd

ຂັ້ນຕອນທີ 5: ຜູ້ໃຊ້ Windows ປ່ຽນລະຫັດໂດຍໃຊ້ PuTTYGen.

ຖ້າທ່ານກຳລັງໃຊ້ Windows, ທ່ານຈຳເປັນຕ້ອງປ່ຽນ private key ເປັນຮູບແບບ PuTTY:

1. ເປີດ PuTTYGen
2. ກົດ Load ໂຫຼດ id_rsa
3. ກົດ ບັນທຶກກະແຈສ່ວນຕົວ ບັນທຶກເປັນ .ppk
4. 在 PuTTY → ການເຊື່ອມຕໍ່ → SSH → ການອະນຸຍາດ ເລືອກອັນນີ້ .ppk ເອດເອດ

ວິທີນີ້, ທ່ານສາມາດເຂົ້າສູ່ລະບົບ VPS ຂອງທ່ານໄດ້ຢ່າງປອດໄພໂດຍໃຊ້ PuTTY.

ຂັ້ນຕອນທີ 6: ກວດສອບ ແລະ ປ້ອງກັນການໂຈມຕີແບບ brute-force

ຢືນຢັນວ່າການຕັ້ງຄ່າມີຜົນບັງຄັບໃຊ້ແລ້ວ:

grep "Failed password" /var/log/auth.log

ບັນທຶກຈະສະແດງພຽງແຕ່ຄວາມພະຍາຍາມທີ່ລົ້ມເຫຼວຂອງຜູ້ໂຈມຕີເທົ່ານັ້ນ, ບໍ່ແມ່ນການເຂົ້າສູ່ລະບົບທີ່ປະສົບຜົນສຳເລັດ.

ການປ້ອງກັນຕື່ມອີກ:

• ຮ່ວມມື Fail2Ban ບລັອກການໂຈມຕີ IP ໂດຍອັດຕະໂນມັດ
• ປ່ຽນພອດເລີ່ມຕົ້ນ (ຕົວຢ່າງ, ປ່ຽນມັນເປັນ 2222).
• Firewall ອະນຸຍາດໃຫ້ໃຊ້ IP ທີ່ເຊື່ອຖືໄດ້ເທົ່ານັ້ນ

ເຕັກນິກທັງສາມຢ່າງນີ້ສາມາດຂັດຂວາງຄວາມພະຍາຍາມຂອງແຮກເກີໄດ້ຢ່າງສິ້ນເຊີງ.

ເພື່ອສະຫຼຸບ

ຜ່ານ ສ້າງລະຫັດ → ກຳນົດຄ່າລະຫັດສາທາລະນະ → ແກ້ໄຂ sshd_config → ເລີ່ມການບໍລິການຄືນໃໝ່ → PuTTY ເພື່ອປ່ຽນລະຫັດ ຂັ້ນຕອນເຫຼົ່ານີ້, ຂອງທ່ານ HestiaCP VPS ສາມາດກຳຈັດຄວາມສ່ຽງຂອງການໂຈມຕີແບບ brute-force ດ້ວຍລະຫັດຜ່ານໄດ້ຢ່າງສົມບູນ.

ລາຍການ "ລະຫັດຜ່ານທີ່ລົ້ມເຫລວ" ໃນບັນທຶກເຫຼົ່ານັ້ນແມ່ນພຽງແຕ່ຄວາມພະຍາຍາມທີ່ບໍ່ມີປະໂຫຍດໂດຍຜູ້ໂຈມຕີ ແລະ ບໍ່ໄດ້ຊີ້ບອກວ່າການພິສູດຢືນຢັນລະຫັດຜ່ານຍັງຖືກເປີດໃຊ້ງານຢູ່.

ສະຫຼຸບ: ຄວາມປອດໄພແມ່ນສາຍຊີວິດຂອງເຊີບເວີ.

ໃນໂລກຂອງຄວາມປອດໄພຂອງຂໍ້ມູນຂ່າວສານ, ລະຫັດຜ່ານແມ່ນການເຊື່ອມຕໍ່ທີ່ມີຄວາມສ່ຽງຫຼາຍທີ່ສຸດ. ການປ່ຽນລະຫັດຜ່ານດ້ວຍລະຫັດບໍ່ພຽງແຕ່ເປັນທາງເລືອກທາງດ້ານເຕັກໂນໂລຢີເທົ່ານັ້ນ, ແຕ່ຍັງເປັນການສະທ້ອນເຖິງຄວາມຮັບຜິດຊອບ ແລະ ສະຕິປັນຍາອີກດ້ວຍ.

ດັ່ງທີ່ໄດ້ລະບຸໄວ້ໃນ "ເອກະສານຂາວກ່ຽວກັບຄວາມປອດໄພຂອງຂໍ້ມູນຂ່າວສານ": "ຄວາມປອດໄພບໍ່ແມ່ນຄ່າໃຊ້ຈ່າຍ, ແຕ່ເປັນມູນຄ່າ."

ສະນັ້ນຈົ່ງລົງມືປະຕິບັດ. ປົດປ່ອຍ VPS ຂອງທ່ານຈາກລະຫັດຜ່ານທີ່ຈຳກັດ, ແລະປ່ອຍໃຫ້ການໂຈມຕີແບບ brute-force ຂອງແຮກເກີຍັງຄົງຢູ່ໃນບັນທຶກທີ່ລົ້ມເຫຼວຕະຫຼອດໄປ.