Si të parandaloni sulmet brutale SSH? Një tutorial praktik mbi konfigurimin e autentifikimit të çelësit VPS me HestiaCP.

Mbi 90% e sulmeve VPS janë për shkak të... Sulm brutal me fjalëkalim të dobët SSHNëse ende hyni në server me një fjalëkalim, është po aq e rrezikshme sa ta lini çelësin e shtëpisë varur në derë.

Në këtë artikull, do t'ju udhëzoj hap pas hapi për t'i shpëtuar plotësisht makthit të sulmeve me fjalëkalime me forcë brutale. Ne do të kombinojmë... VPS kundër PETTY软件Ky tutorial përdor mjetet më praktike të linjës së komandës për t'ju ndihmuar të ngrini sigurinë tuaj SSH në nivelin më të lartë.

Pse të përdorni një çelës në vend të një fjalëkalimi?

Pavarësisht se sa i ndërlikuar është një fjalëkalim, ai prapëseprapë mund të deshifrohet me forcë brutale. Hakerët mund të përdorin mjete për të provuar dhjetëra mijëra kombinime fjalëkalimesh në sekondë.

dhe Çelësi RSA 4096-bitNë teori, do të duheshin miliarda vjet për ta deshifruar. Në krahasim, një fjalëkalim është si një derë letre, ndërsa një çelës është një portë çeliku.

Hapi 1: Gjeneroni çelësin SSH

在 Linux Si alternativë, në macOS, mund të gjeneroni drejtpërdrejt një çift çelësash RSA 4096-bit:

ssh-keygen -t rsa -b 4096

Shtypni Enter për të ruajtur rrugën e parazgjedhur. /root/.ssh/id_rsa.

Futni një fjalëkalim (opsional) ose thjesht shtypni Enter dhe lëreni bosh.

Sistemi do të gjenerojë dy skedarë:

• Çelësi privat:id_rsa
• Çelësi publik:id_rsa.pub

Ky është "brava" dhe "çelësi" juaj.

Hapi 2: Konfiguroni çelësin publik në server

Vendosni çelësin publik në direktorinë e licencuar të VPS-së:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Sigurohuni që drejtoria /root/.ssh/ ekzistojnë

Në këtë mënyrë, serveri do të njohë vetëm çelësin tuaj publik dhe nuk do të mbështetet më te fjalëkalimi.

Hapi 3: Modifikoni skedarin e konfigurimit SSH

Redaktoni skedarin e konfigurimit:

nano /etc/ssh/sshd_config

Ndryshoni parametrat e mëposhtëm:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Ky hap është thelbësor: çaktivizoni plotësisht hyrjen me fjalëkalim.

Hapi 4: Rinisni shërbimin SSH

Bëni që konfigurimi të hyjë në fuqi menjëherë:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Shërbimi është konfirmuar të jetë në funksionim:

systemctl status sshd

Hapi 5: Përdoruesit e Windows e konvertojnë çelësin duke përdorur PuTTYGen.

Nëse përdorni Windows, duhet ta konvertoni çelësin privat në formatin PuTTY:

1. hapur PuTTYGen
2. 点击 Ngarkesë ngarkesës id_rsa
3. 点击 Ruani çelësin privat Ruaj si .ppk
4. 在 PuTTY → Lidhja → SSH → Autorizimi Zgjidh këtë .ppk skedar

Në këtë mënyrë, mund të hyni në mënyrë të sigurt në VPS-në tuaj duke përdorur PuTTY.

Hapi 6: Verifikoni dhe mbrohuni nga sulmet me forcë brutale

Konfirmoni që konfigurimi është në fuqi:

grep "Failed password" /var/log/auth.log

Regjistrat do të tregojnë vetëm përpjekjet e dështuara të sulmuesit, jo hyrjet e suksesshme.

Mbrojtje e mëtejshme:

• Bashkëpunojnë Fail2Ban Blloko automatikisht IP-të sulmuese
• Ndryshoni portën e parazgjedhur (p.sh., ndryshojeni në 2222).
• Firewall lejon vetëm IP-të e besuara

Këto tre teknika mund t’i pengojnë plotësisht përpjekjet e një hakeri.

总结

nga Gjenero çelësin → Konfiguro çelësin publik → Modifiko sshd_config → Rinis shërbimin → PuTTY për të konvertuar çelësin Këto hapa, tuajat HestiaCP Një VPS mund të eliminojë plotësisht rrezikun e sulmeve brutale me fjalëkalim.

Shënimet "Fjalëkalim i dështuar" në ato regjistra janë thjesht përpjekje të kota nga sulmuesit dhe nuk tregojnë se vërtetimi me fjalëkalim është ende i aktivizuar.

Përfundim: Siguria është thelbësore për një server.

Në botën e sigurisë së informacionit, fjalëkalimet janë hallka më e cenueshme. Zëvendësimi i fjalëkalimeve me çelësa nuk është vetëm një zgjedhje teknologjike, por edhe një pasqyrim i përgjegjësisë dhe mençurisë.

Siç thuhet në "Dokumentin e Bardhë për Sigurinë e Informacionit": "Siguria nuk është një kosto, por një vlerë."

Pra, ndërmerrni veprime. Çlironi VPS-në tuaj nga prangat e fjalëkalimeve dhe lërini sulmet brutale të hakerave të mbeten përgjithmonë në regjistrat e dështuar.