Как предотвратить атаки методом перебора паролей SSH? Практическое руководство по настройке аутентификации ключей VPS с помощью HestiaCP.

Более 90% атак на VPS происходят из-за... SSH-атака методом перебора слабых паролейЕсли вы по-прежнему входите на сервер с помощью пароля, это так же опасно, как оставлять ключи от дома висеть на двери.

В этой статье я шаг за шагом расскажу вам, как полностью избежать кошмара атак методом перебора паролей. Мы объединим... VPS 与 PuTTY软件В этом руководстве используются наиболее практичные инструменты командной строки, которые помогут вам вывести безопасность SSH на высочайший уровень.

Почему вместо пароля используется ключ?

Независимо от сложности пароля, его все равно можно взломать методом перебора. Хакеры могут использовать инструменты для перебора десятков тысяч комбинаций паролей в секунду.

и 4096-битный RSA-ключТеоретически, на взлом такого пароля ушли бы миллиарды лет. Для сравнения, пароль — это как бумажная дверь, а ключ — как стальные ворота.

Шаг 1: Сгенерируйте SSH-ключ.

在 Linux В качестве альтернативы, в macOS вы можете напрямую сгенерировать пару ключей RSA размером 4096 бит:

ssh-keygen -t rsa -b 4096

Нажмите Enter, чтобы сохранить путь по умолчанию. /root/.ssh/id_rsa.

Введите пароль (необязательно) или просто нажмите Enter и оставьте поле пустым.

Система сгенерирует два файла:

• Закрытый ключ:id_rsa
• Открытый ключ:id_rsa.pub

Это ваш "замок" и "ключ".

Шаг 2: Настройте открытый ключ на сервере.

Разместите открытый ключ в каталоге лицензий VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Убедитесь, что каталог /root/.ssh/ Существование.

Таким образом, сервер будет распознавать только ваш открытый ключ и больше не будет полагаться на пароль.

Шаг 3: Измените файл конфигурации SSH.

Отредактируйте конфигурационный файл:

nano /etc/ssh/sshd_config

Измените следующие параметры:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Этот шаг крайне важен: полностью отключить вход по паролю.

Шаг 4: Перезапустите службу SSH.

Чтобы изменения вступили в силу немедленно:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Подтверждено, что работа сервиса завершена:

systemctl status sshd

Шаг 5: Пользователи Windows преобразуют ключ с помощью PuTTYGen.

Если вы используете Windows, вам необходимо преобразовать закрытый ключ в формат PuTTY:

1. открытый PuTTYGen
2. Нажмите нагрузка нагрузка id_rsa
3. Нажмите Сохранить закрытый ключ Сохранить как .ppk
4. 在 PuTTY → Подключение → SSH → Аутентификация Выберите это .ppk 文件

Таким образом, вы сможете безопасно войти в свой VPS с помощью PuTTY.

Шаг 6: Проверка и защита от атак методом перебора паролей.

Подтвердите, что конфигурация вступила в силу:

grep "Failed password" /var/log/auth.log

В журналах будут отображаться только неудачные попытки входа злоумышленника, а не успешные попытки авторизации.

Дальнейшая защита:

• Сотрудничать Fail2Ban Автоматическая блокировка атакующих IP-адресов.
• Измените порт по умолчанию (например, на 2222).
• Брандмауэр разрешает доступ только доверенным IP-адресам.

Эти три метода могут полностью сорвать планы хакера.

резюме

по Сгенерировать ключ → Настроить открытый ключ → Изменить файл sshd_config → Перезапустить службу → Использовать PuTTY для преобразования ключа Эти шаги, ваши ГестияCP VPS может полностью исключить риск атак методом перебора паролей.

Записи "Неверный пароль" в этих журналах — это всего лишь тщетные попытки злоумышленников и не указывают на то, что аутентификация по паролю по-прежнему включена.

Вывод: Безопасность — это жизненно важный элемент работы сервера.

В мире информационной безопасности пароли являются наиболее уязвимым звеном. Замена паролей ключами — это не просто технологический выбор, но и отражение ответственности и мудрости.

Как указано в «Белой книге по информационной безопасности»: «Безопасность — это не затраты, а ценность».

Так что действуйте. Освободите свой VPS от оков паролей, и пусть хакерские атаки методом перебора навсегда останутся в логах неудачных попыток взлома.