Paano maiwasan ang mga brute-force attack ng SSH? Isang praktikal na tutorial sa pag-configure ng VPS key authentication gamit ang HestiaCP.

Mahigit 90% ng mga pag-atake sa VPS ay dahil sa... Brute-force na pag-atake gamit ang mahinang password sa SSHKung nagla-log in ka pa rin sa server gamit ang isang password, kasing delikado ito ng pag-iwan ng susi ng iyong bahay na nakasabit sa pinto.

Sa artikulong ito, gagabayan kita nang paunti-unti upang tuluyang makatakas sa bangungot ng mga brute-force na pag-atake sa password. Pagsasamahin natin... VPS 与 PuTTY软件Gumagamit ang tutorial na ito ng mga pinaka-praktikal na command-line tool upang matulungan kang mapataas ang seguridad ng iyong SSH sa pinakamataas na antas.

Bakit gagamit ng key sa halip na password?

Gaano man kakomplikado ang isang password, maaari pa rin itong basagin gamit ang brutal na puwersa. Maaaring gumamit ang mga hacker ng mga tool upang subukan ang libu-libong kombinasyon ng password bawat segundo.

at 4096-bit na RSA keySa teorya, aabutin ng bilyun-bilyong taon bago ma-crack. Kung ikukumpara, ang password ay parang pintong papel, habang ang susi ay parang gate na bakal.

Hakbang 1: Bumuo ng SSH key

在 Linux Bilang kahalili, sa macOS, maaari kang direktang bumuo ng isang 4096-bit RSA key pair:

ssh-keygen -t rsa -b 4096

Pindutin ang Enter upang i-save ang default na landas. /root/.ssh/id_rsa.

Maglagay ng password (opsyonal), o pindutin lang ang Enter at iwanang blangko.

Ang sistema ay bubuo ng dalawang file:

• Pribadong susi:id_rsa
• Pampublikong susi:id_rsa.pub

Ito ang iyong "lock" at "susi".

Hakbang 2: I-configure ang pampublikong susi sa server

Ilagay ang pampublikong susi sa lisensyadong direktoryo ng VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Tiyakin ang direktoryo /root/.ssh/ mayroon

Sa ganitong paraan, makikilala lamang ng server ang iyong pampublikong susi at hindi na aasa sa password.

Hakbang 3: Baguhin ang configuration file ng SSH

I-edit ang file ng pagsasaayos:

nano /etc/ssh/sshd_config

Baguhin ang mga sumusunod na parameter:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Napakahalaga ng hakbang na ito: ganap na huwag paganahin ang pag-login gamit ang password.

Hakbang 4: I-restart ang serbisyo ng SSH

Gawing agad na epektibo ang configuration:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Nakumpirmang gumagana na ang serbisyo:

systemctl status sshd

Hakbang 5: Kino-convert ng mga gumagamit ng Windows ang key gamit ang PuTTYGen.

Kung gumagamit ka ng Windows, kailangan mong i-convert ang private key sa PuTTY format:

1. buksan PuTTYGen
2. Mag-click Load load id_rsa
3. Mag-click I-save ang pribadong key I-save bilang .ppk
4. 在 PuTTY → Koneksyon → SSH → Awtorisasyon Piliin ito .ppk 文件

Sa ganitong paraan, ligtas kang makakapag-log in sa iyong VPS gamit ang PuTTY.

Hakbang 6: I-verify at ipagtanggol laban sa mga brute-force na pag-atake

Kumpirmahin na epektibo ang configuration:

grep "Failed password" /var/log/auth.log

Ipapakita lamang ng mga log ang mga nabigong pagtatangka ng attacker, hindi ang mga matagumpay na pag-login.

Karagdagang depensa:

• Makipagtulungan Fail2Ban Awtomatikong harangan ang mga umaatakeng IP
• Baguhin ang default na port (hal., baguhin ito sa 2222).
• Pinapayagan lamang ng Firewall ang mga pinagkakatiwalaang IP

Ang tatlong pamamaraang ito ay maaaring ganap na hadlangan ang mga pagsisikap ng isang hacker.

总结

Pumasa Bumuo ng susi → I-configure ang pampublikong susi → Baguhin ang sshd_config → I-restart ang serbisyo → PuTTY para i-convert ang susi Ang mga hakbang na ito, ang iyong HestiaCP Kayang ganap na maalis ng isang VPS ang panganib ng mga pag-atake ng brute-force gamit ang password.

Ang mga entry na "Nabigong password" sa mga log na iyon ay mga walang saysay na pagtatangka lamang ng mga umaatake at hindi nagpapahiwatig na naka-enable pa rin ang pagpapatotoo ng password.

Konklusyon: Ang seguridad ang pangunahing sangkap ng isang server.

Sa mundo ng seguridad ng impormasyon, ang mga password ang pinakamahinang kawing. Ang pagpapalit ng mga password ng mga susi ay hindi lamang isang teknolohikal na pagpipilian, kundi isang repleksyon din ng responsibilidad at karunungan.

Gaya ng nakasaad sa "Information Security White Paper": "Ang seguridad ay hindi isang gastos, kundi isang halaga."

Kaya kumilos ka na. Palayain ang iyong VPS mula sa mga gapos ng mga password, at hayaang manatili magpakailanman sa mga nabigong log ang mga brute-force attack ng mga hacker.