Kako preprečiti napade s surovo silo SSH? Praktični vodič o konfiguriranju preverjanja pristnosti ključev VPS s HestiaCP.

Več kot 90 % napadov na VPS je posledica ... Napad s surovo silo za šibko geslo SSHČe se še vedno prijavljate v strežnik z geslom, je to prav tako nevarno, kot če bi pustili ključ od hiše obešen na vrata.

V tem članku vas bom korak za korakom vodil, kako se popolnoma izogniti nočni mori napadov z gesli z grobo silo. Združili bomo ... VPS proti PuTTY软件Ta vadnica uporablja najbolj praktična orodja ukazne vrstice, ki vam bodo pomagala dvigniti varnost SSH na najvišjo raven.

Zakaj uporabljati ključ namesto gesla?

Ne glede na to, kako zapleteno je geslo, ga je še vedno mogoče razbiti z grobo silo. Hekerji lahko z orodji preizkusijo več deset tisoč kombinacij gesel na sekundo.

in 4096-bitni ključ RSATeoretično bi za razbijanje potrebovali milijarde let. Za primerjavo, geslo je kot papirnata vrata, ključ pa jeklena vrata.

1. korak: Ustvarite SSH ključ

在 Linux Lahko pa v sistemu macOS neposredno ustvarite 4096-bitni par ključev RSA:

ssh-keygen -t rsa -b 4096

Pritisnite Enter, da shranite privzeto pot. /root/.ssh/id_rsa.

Vnesite geslo (neobvezno) ali preprosto pritisnite Enter in pustite polje prazno.

Sistem bo ustvaril dve datoteki:

• Zasebni ključ:id_rsa
• Javni ključ:id_rsa.pub

To je vaša "ključavnica" in "ključ".

2. korak: Konfigurirajte javni ključ na strežniku

Javni ključ postavite v licenčni imenik VPS-ja:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Zagotovite imenik /root/.ssh/ Obstoj.

Na ta način bo strežnik prepoznal le vaš javni ključ in se ne bo več zanašal na geslo.

3. korak: Spremenite konfiguracijsko datoteko SSH

Uredite konfiguracijsko datoteko:

nano /etc/ssh/sshd_config

Spremenite naslednje parametre:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Ta korak je ključnega pomena: popolnoma onemogočite prijavo z geslom.

4. korak: Znova zaženite storitev SSH

Naj konfiguracija začne veljati takoj:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Storitev je bila potrjena, da deluje:

systemctl status sshd

5. korak: Uporabniki sistema Windows pretvorijo ključ s programom PuTTYGen.

Če uporabljate Windows, morate zasebni ključ pretvoriti v format PuTTY:

1. 打开 PuTTYGen
2. 点击 Obremenitev obremenitev id_rsa
3. 点击 Shrani zasebni ključ Shrani kot .ppk
4. 在 PuTTY → Povezava → SSH → Avtorizacija Izberite to .ppk Datoteka

Na ta način se lahko varno prijavite v svoj VPS s pomočjo PuTTY.

6. korak: Preverite in se zaščitite pred napadi z grobo silo

Potrdite, da je konfiguracija veljavna:

grep "Failed password" /var/log/auth.log

Dnevniki bodo prikazali le neuspešne poskuse napadalca, ne pa uspešnih prijav.

Nadaljnja obramba:

• Sodelujte Fail2Ban Samodejno blokiranje napadalnih IP-jev
• Spremenite privzeta vrata (npr. spremenite jih na 2222).
• Požarni zid dovoljuje samo zaupanja vredne IP-je

Te tri tehnike lahko popolnoma preprečijo hekerjeva prizadevanja.

总结

Prehod Generiraj ključ → Konfiguriraj javni ključ → Spremeni sshd_config → Znova zaženi storitev → PuTTY za pretvorbo ključa Ti koraki, vaši HestiaCP VPS lahko popolnoma odpravi tveganje napadov z grobo silo za geslo.

Vnosi »Neuspešno geslo« v teh dnevnikih so zgolj jalovi poskusi napadalcev in ne pomenijo, da je preverjanje pristnosti z geslom še vedno omogočeno.

Zaključek: Varnost je življenjska bilka strežnika.

V svetu informacijske varnosti so gesla najbolj ranljiva povezava. Zamenjava gesel s ključi ni le tehnološka izbira, temveč tudi odraz odgovornosti in modrosti.

Kot je navedeno v "Beli knjigi o informacijski varnosti": "Varnost ni strošek, temveč vrednota."

Zato ukrepajte. Osvobodite svoj VPS okov gesel in pustite, da napadi hekerjev z grobo silo za vedno ostanejo v neuspešnih dnevnikih.