Како да се спречат SSH напади со брутална сила? Практичен туторијал за конфигурирање на автентикација на VPS клуч со HestiaCP.

Над 90% од VPS нападите се должат на... SSH слаба лозинка со брутален нападАко сè уште се најавувате на серверот со лозинка, тоа е исто толку опасно како да го оставите клучот од куќата да виси на вратата.

Во оваа статија, ќе ве водам чекор по чекор за целосно да избегате од кошмарот на нападите со лозинки со груба сила. Ќе комбинираме... VPS Со МалолетнилоПакетиОва упатство ги користи најпрактичните алатки од командната линија за да ви помогне да ја подигнете вашата SSH безбедност на највисоко ниво.

Зошто да користите клуч наместо лозинка?

Без разлика колку е сложена лозинката, таа сепак може да се пробие со употреба на груба сила. Хакерите можат да користат алатки за да испробаат десетици илјади комбинации на лозинки во секунда.

и 4096-битен RSA клучТеоретски, би биле потребни милијарди години за да се пробие. За споредба, лозинката е како хартиена врата, додека клучот е челична порта.

Чекор 1: Генерирај SSH клуч

在 Linux Алтернативно, на macOS, можете директно да генерирате 4096-битен RSA пар клучеви:

ssh-keygen -t rsa -b 4096

Притиснете Enter за да ја зачувате стандардната патека. /root/.ssh/id_rsa.

Внесете лозинка (опционално) или едноставно притиснете Enter и оставете ја празна.

Системот ќе генерира две датотеки:

• Приватен клуч:id_rsa
• Јавен клуч:id_rsa.pub

Ова е твојата „брава“ и „клуч“.

Чекор 2: Конфигурирајте го јавниот клуч на серверот

Ставете го јавниот клуч во лиценцираниот директориум на VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Обезбедете го директориумот /root/.ssh/ постојат.

На овој начин, серверот ќе го препознае само вашиот јавен клуч и повеќе нема да се потпира на лозинката.

Чекор 3: Изменете ја конфигурациската датотека на SSH

Уредете ја конфигурациската датотека:

nano /etc/ssh/sshd_config

Изменете ги следните параметри:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Овој чекор е клучен: целосно оневозможете го најавувањето со лозинка.

Чекор 4: Рестартирајте ја SSH услугата

Направете конфигурацијата да стапи на сила веднаш:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Услугата е потврдена дека работи:

systemctl status sshd

Чекор 5: Корисниците на Windows го конвертираат клучот користејќи PuTTYGen.

Ако користите Windows, треба да го конвертирате приватниот клуч во PuTTY формат:

1. 打开 PuTTYGen
2. 点击 Товар оптоварување id_rsa
3. 点击 Зачувајте приватен клуч Зачувај како .ppk
4. 在 PuTTY → Врска → SSH → Авторизација Изберете го ова .ppk 文件

На овој начин, можете безбедно да се најавите на вашиот VPS користејќи PuTTY.

Чекор 6: Потврдете и одбранете се од напади со брутална сила

Потврдете дека конфигурацијата е во сила:

grep "Failed password" /var/log/auth.log

Логовите ќе ги прикажуваат само неуспешните обиди на напаѓачот, а не успешните најавувања.

Понатамошна одбрана:

• Соработувајте Fail2Ban Автоматски блокирајте ги напаѓачките IP-адреси
• Променете го стандардниот порт (на пример, променете го на 2222).
• Заштитниот ѕид дозволува само доверливи IP-адреси

Овие три техники можат целосно да ги попречат напорите на хакерот.

да сумираме

Помине Генерирај клуч → Конфигурирај јавен клуч → Измени sshd_config → Рестартирај услуга → PuTTY за конвертирање на клучот Овие чекори, вашите HestiaCP VPS може целосно да го елиминира ризикот од напади со брутална сила со лозинка.

Записите „Неуспешна лозинка“ во тие логови се само залудни обиди од страна на напаѓачите и не укажуваат дека автентикацијата со лозинка е сè уште овозможена.

Заклучок: Безбедноста е животен век на еден сервер.

Во светот на безбедноста на информациите, лозинките се најранливата алка. Заменувањето на лозинките со клучеви не е само технолошки избор, туку и одраз на одговорност и мудрост.

Како што е наведено во „Белата книга за безбедност на информациите“: „Безбедноста не е трошок, туку вредност“.

Затоа, преземете акција. Ослободете го вашиот VPS од оковите на лозинките и дозволете нападите со брутална сила на хакерите да останат засекогаш во неуспешните логови.