Hvordan forhindre SSH brute-force-angrep? En praktisk veiledning om konfigurering av VPS-nøkkelautentisering med HestiaCP.

Over 90 % av VPS-angrep skyldes... Brute-force-angrep med svakt SSH-passordHvis du fortsatt logger deg på serveren med et passord, er det like farlig som å la husnøkkelen henge på døren.

I denne artikkelen vil jeg veilede deg trinn for trinn for å fullstendig unnslippe marerittet med brute-force passordangrep. Vi vil kombinere... VPS 与 PuTTYprogramvareDenne veiledningen bruker de mest praktiske kommandolinjeverktøyene for å hjelpe deg med å heve SSH-sikkerheten din til det høyeste nivået.

Hvorfor bruke en nøkkel i stedet for et passord?

Uansett hvor komplekst et passord er, kan det fortsatt knekkes med rå makt. Hackere kan bruke verktøy til å prøve titusenvis av passordkombinasjoner per sekund.

og 4096-bit RSA-nøkkelI teorien ville det ta milliarder av år å knekke det. Til sammenligning er et passord som en papirdør, mens en nøkkel er en stålport.

Trinn 1: Generer SSH-nøkkel

在 Linux Alternativt kan du generere et 4096-bit RSA-nøkkelpar direkte på macOS:

ssh-keygen -t rsa -b 4096

Trykk Enter for å lagre standardbanen. /root/.ssh/id_rsa.

Skriv inn et passord (valgfritt), eller trykk Enter og la det stå tomt.

Systemet vil generere to filer:

• Privat nøkkel:id_rsa
• Offentlig nøkkel:id_rsa.pub

Dette er din «lås» og «nøkkel».

Trinn 2: Konfigurer den offentlige nøkkelen til serveren

Plasser den offentlige nøkkelen i VPS-ens lisensierte katalog:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Sørg for katalogen /root/.ssh/ eksistere.

På denne måten vil serveren bare gjenkjenne din offentlige nøkkel og ikke lenger stole på passordet.

Trinn 3: Endre SSH-konfigurasjonsfilen

Rediger konfigurasjonsfilen:

nano /etc/ssh/sshd_config

Endre følgende parametere:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Dette trinnet er avgjørende: deaktiver passordpålogging fullstendig.

Trinn 4: Start SSH-tjenesten på nytt

Gjør at konfigurasjonen trer i kraft umiddelbart:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Tjenesten er bekreftet å kjøre:

systemctl status sshd

Trinn 5: Windows-brukere konverterer nøkkelen ved hjelp av PuTTYGen.

Hvis du bruker Windows, må du konvertere den private nøkkelen til PuTTY-format:

1. 打开 PuTTYGen
2. Klikk på Laste laste id_rsa
3. Klikk på Lagre privat nøkkel Lagre som .ppk
4. 在 PuTTY → Tilkobling → SSH → Godkjenning Velg dette .ppk 文件

På denne måten kan du logge deg sikkert inn på VPS-en din ved hjelp av PuTTY.

Trinn 6: Bekreft og forsvar deg mot brute-force-angrep

Bekreft at konfigurasjonen er aktiv:

grep "Failed password" /var/log/auth.log

Loggene vil bare vise angriperens mislykkede forsøk, ikke vellykkede pålogginger.

Videre forsvar:

• Samarbeide Fail2Ban Blokker angripende IP-adresser automatisk
• Endre standardporten (f.eks. endre den til 2222).
• Brannmuren tillater bare klarerte IP-adresser

Disse tre teknikkene kan fullstendig hindre en hackers innsats.

oppsummering

av Generer nøkkel → Konfigurer offentlig nøkkel → Endre sshd_config → Start tjenesten på nytt → PuTTY for å konvertere nøkkelen Disse trinnene, dine HestiaCP En VPS kan fullstendig eliminere risikoen for passordbrute-force-angrep.

Oppføringene «Feilet passord» i disse loggene er bare forgjeves forsøk fra angripere og indikerer ikke at passordautentisering fortsatt er aktivert.

Konklusjon: Sikkerhet er en servers livsnerve.

I informasjonssikkerhetens verden er passord det mest sårbare leddet. Å erstatte passord med nøkler er ikke bare et teknologisk valg, men også et uttrykk for ansvar og visdom.

Som det fremgår av «Informasjonssikkerhetsmeldingen»: «Sikkerhet er ikke en kostnad, men en verdi.»

Så ta affære. Frigjør VPS-en din fra passordenes lenker, og la hackernes brute-force-angrep forbli for alltid i de mislykkede loggene.