Kā novērst SSH brutāla spēka uzbrukumus? Praktiska pamācība par VPS atslēgas autentifikācijas konfigurēšanu ar HestiaCP.

Vairāk nekā 90% VPS uzbrukumu notiek tāpēc, ka... Vājas SSH paroles brutāla spēka uzbrukumsJa joprojām piesakāties serverī ar paroli, tas ir tikpat bīstami kā atstāt mājas atslēgu karājoties pie durvīm.

Šajā rakstā es jūs soli pa solim vadīšu, lai pilnībā izvairītos no brutāla spēka paroļu uzbrukumu murga. Mēs apvienosim... VPS 与 PuTTY软件Šajā apmācībā tiek izmantoti vispraktiskākie komandrindas rīki, kas palīdzēs jums paaugstināt SSH drošību visaugstākajā līmenī.

Kāpēc paroles vietā izmantot atslēgu?

Lai cik sarežģīta būtu parole, to joprojām var uzlauzt ar brutālu spēku. Hakeri var izmantot rīkus, lai izmēģinātu desmitiem tūkstošu paroļu kombināciju sekundē.

un 4096 bitu RSA atslēgaTeorētiski, tās uzlaušanai būtu nepieciešami miljardi gadu. Salīdzinājumam, parole ir kā papīra durvis, savukārt atslēga ir tērauda vārti.

1. darbība: SSH atslēgas ģenerēšana

在 Linux Alternatīvi, macOS sistēmā varat tieši ģenerēt 4096 bitu RSA atslēgu pāri:

ssh-keygen -t rsa -b 4096

Nospiediet taustiņu Enter, lai saglabātu noklusējuma ceļu. /root/.ssh/id_rsa.

Ievadiet paroli (pēc izvēles) vai vienkārši nospiediet taustiņu Enter un atstājiet to tukšu.

Sistēma ģenerēs divus failus:

• Privātā atslēga:id_rsa
• Publiskā atslēga:id_rsa.pub

Šī ir jūsu "atslēga" un "slēdzene".

2. darbība. Konfigurējiet publisko atslēgu serverī

Ievietojiet publisko atslēgu VPS licencētajā direktorijā:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Nodrošiniet direktoriju /root/.ssh/ pastāvēt.

Tādā veidā serveris atpazīs tikai jūsu publisko atslēgu un vairs nepaļausies uz paroli.

3. darbība. SSH konfigurācijas faila modificēšana

Rediģēt konfigurācijas failu:

nano /etc/ssh/sshd_config

Mainiet šādus parametrus:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Šis solis ir izšķirošs: pilnībā atspējojiet paroles pieteikšanos.

4. darbība. Restartējiet SSH pakalpojumu

Panākt, lai konfigurācija stātos spēkā nekavējoties:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Ir apstiprināts, ka pakalpojums darbojas:

systemctl status sshd

5. darbība: Windows lietotāji konvertē atslēgu, izmantojot PuTTYGen.

Ja izmantojat Windows, privātā atslēga ir jāpārveido PuTTY formātā:

1. 打开 PuTTYGen
2. 点击 Slodze slodze id_rsa
3. 点击 Saglabāt privāto atslēgu Saglabāt kā .ppk
4. 在 PuTTY → Savienojums → SSH → Autentifikācija Izvēlēties šo .ppk 文件

Tādā veidā jūs varat droši pieteikties savā VPS, izmantojot PuTTY.

6. darbība. Pārbaudiet un aizsargājieties pret brutāla spēka uzbrukumiem

Apstipriniet, ka konfigurācija ir spēkā:

grep "Failed password" /var/log/auth.log

Žurnālos tiks parādīti tikai uzbrucēja neveiksmīgie mēģinājumi, nevis veiksmīgas pieteikšanās.

Papildu aizstāvība:

• Sadarboties Fail2Ban Automātiski bloķēt uzbrūkošās IP adreses
• Mainiet noklusējuma portu (piemēram, nomainiet to uz 2222).
• Ugunsmūris atļauj tikai uzticamas IP adreses

Šīs trīs metodes var pilnībā izjaukt hakeru centienus.

总结

Pāriet Ģenerēt atslēgu → Konfigurēt publisko atslēgu → Mainīt sshd_config → Restartēt pakalpojumu → PuTTY, lai konvertētu atslēgu Šie soļi, jūsu HestiaCP VPS var pilnībā novērst paroles brutāla spēka uzbrukumu risku.

Ieraksti “Parole neizdevās” šajos žurnālos ir tikai veltīgi uzbrucēju mēģinājumi un nenorāda, ka paroles autentifikācija joprojām ir iespējota.

Secinājums: Drošība ir servera glābšanas riņķis.

Informācijas drošības pasaulē paroles ir visneaizsargātākais posms. Paroļu aizstāšana ar atslēgām nav tikai tehnoloģiska izvēle, bet arī atbildības un gudrības atspoguļojums.

Kā teikts "Informācijas drošības baltajā grāmatā": "Drošība nav izmaksas, bet gan vērtība."

Tāpēc rīkojieties. Atbrīvojiet savu VPS no paroļu važām un ļaujiet hakeru brutālajiem uzbrukumiem uz visiem laikiem palikt neveiksmīgajos žurnālos.