Kaip apsisaugoti nuo SSH „brute-force“ atakų? Praktinė pamoka, kaip konfigūruoti VPS rakto autentifikavimą naudojant „HestiaCP“.

Daugiau nei 90 % VPS atakų kyla dėl... Silpno SSH slaptažodžio „brute-force“ atakaJei vis dar jungiatės prie serverio naudodami slaptažodį, tai taip pat pavojinga, kaip palikti namų raktą kabantį ant durų.

Šiame straipsnyje žingsnis po žingsnio padėsiu jums visiškai išsivaduoti iš „brute-force“ slaptažodžių atakų košmaro. Mes apjungsime... VPS Su PuTTY软件Šiame vadove naudojami praktiškiausi komandinės eilutės įrankiai, padėsiantys jums pakelti SSH saugumą į aukščiausią lygį.

Kodėl verta naudoti raktą, o ne slaptažodį?

Kad ir koks sudėtingas būtų slaptažodis, jį vis tiek galima nulaužti grubia jėga. Įsilaužėliai gali naudoti įrankius, kad išbandytų dešimtis tūkstančių slaptažodžių kombinacijų per sekundę.

ir 4096 bitų RSA raktasTeoriškai, norint jį įlaužti, prireiktų milijardų metų. Palyginimui, slaptažodis yra kaip popierinės durys, o raktas – plieniniai vartai.

1 veiksmas: sugeneruokite SSH raktą

在 Linux Arba „macOS“ sistemoje galite tiesiogiai sugeneruoti 4096 bitų RSA raktų porą:

ssh-keygen -t rsa -b 4096

Paspauskite „Enter“, kad išsaugotumėte numatytąjį kelią. /root/.ssh/id_rsa.

Įveskite slaptažodį (nebūtina) arba tiesiog paspauskite „Enter“ ir palikite lauką tuščią.

Sistema sugeneruos du failus:

• Privatus raktas:id_rsa
• Viešas raktas:id_rsa.pub

Tai jūsų „užraktas“ ir „raktas“.

2 veiksmas: konfigūruokite viešąjį raktą serveryje

Įdėkite viešąjį raktą į VPS licencijuotą katalogą:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Užtikrinkite katalogą /root/.ssh/ Egzistencija.

Tokiu būdu serveris atpažins tik jūsų viešąjį raktą ir nebereikės remtis slaptažodžiu.

3 veiksmas: modifikuokite SSH konfigūracijos failą

Redaguokite konfigūracijos failą:

nano /etc/ssh/sshd_config

Pakeiskite šiuos parametrus:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Šis žingsnis yra labai svarbus: visiškai išjunkite prisijungimą slaptažodžiu.

4 veiksmas: paleiskite SSH paslaugą iš naujo

Priverskite konfigūraciją įsigalioti nedelsiant:

• Centos7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Patvirtinta, kad paslauga veikia:

systemctl status sshd

5 veiksmas: „Windows“ naudotojai konvertuoja raktą naudodami „PuTTYGen“.

Jei naudojate „Windows“, turite konvertuoti privatųjį raktą į „PuTTY“ formatą:

1. įjungti PuTTYGen
2. Spauskite Įkelti apkrova id_rsa
3. Spauskite Išsaugoti privatų raktą Išsaugoti kaip .ppk
4. 在 PuTTY → Ryšys → SSH → Autentifikavimas Pasirinkite tai .ppk 文件

Tokiu būdu galite saugiai prisijungti prie savo VPS naudodami „PuTTY“.

6 veiksmas: patikrinkite ir apsisaugokite nuo „brute force“ atakų

Patvirtinkite, kad konfigūracija veikia:

grep "Failed password" /var/log/auth.log

Žurnaluose bus rodomi tik nepavykę užpuoliko bandymai, o ne sėkmingi prisijungimai.

Tolesnė gynyba:

• Bendradarbiauti Fail2Ban Automatiškai blokuoti atakuojančius IP adresus
• Pakeiskite numatytąjį prievadą (pvz., pakeiskite jį į 2222).
• Ugniasienė leidžia tik patikimus IP adresus

Šie trys metodai gali visiškai sužlugdyti įsilaužėlio pastangas.

apibendrinti

Praeiti Generuoti raktą → Konfigūruoti viešąjį raktą → Keisti sshd_config → Paleisti paslaugą iš naujo → PuTTY konvertuoti raktą Šie žingsniai, jūsų HestiaCP VPS gali visiškai pašalinti slaptažodžių grubios jėgos atakų riziką.

Įrašai „Nepavyko įvesti slaptažodžio“ tuose žurnaluose yra tik bergždži užpuolikų bandymai ir nenurodo, kad slaptažodžio autentifikavimas vis dar įjungtas.

Išvada: Saugumas yra serverio gyvybės ratas.

Informacijos saugumo pasaulyje slaptažodžiai yra pažeidžiamiausia grandis. Slaptažodžių pakeitimas raktais yra ne tik technologinis pasirinkimas, bet ir atsakomybės bei išminties atspindys.

Kaip teigiama „Informacijos saugumo baltojoje knygoje“: „Saugumas yra ne kaina, o vertybė.“

Taigi, imkitės veiksmų. Išlaisvinkite savo VPS iš slaptažodžių pančių ir leiskite įsilaužėlių „brute-force“ atakoms amžinai išlikti nepavykusiuose žurnaluose.