Làm thế nào để ngăn chặn các cuộc tấn công vét cạn mật khẩu SSH? Hướng dẫn thực hành về cấu hình xác thực khóa VPS với HestiaCP.

Hơn 90% các cuộc tấn công vào VPS là do... Tấn công vét cạn mật khẩu SSH yếuNếu bạn vẫn đăng nhập vào máy chủ bằng mật khẩu, điều đó nguy hiểm chẳng khác nào để chìa khóa nhà treo trên cửa.

Trong bài viết này, tôi sẽ hướng dẫn bạn từng bước để hoàn toàn thoát khỏi cơn ác mộng tấn công mật khẩu bằng phương pháp vét cạn. Chúng ta sẽ kết hợp... VPS 与 PuTTY软件Hướng dẫn này sử dụng các công cụ dòng lệnh thiết thực nhất để giúp bạn nâng cao bảo mật SSH lên mức cao nhất.

Tại sao lại dùng chìa khóa thay vì mật khẩu?

Dù mật khẩu phức tạp đến đâu, nó vẫn có thể bị bẻ khóa bằng phương pháp tấn công vét cạn. Tin tặc có thể sử dụng các công cụ để thử hàng chục nghìn tổ hợp mật khẩu mỗi giây.

và Khóa RSA 4096 bitVề lý thuyết, sẽ mất hàng tỷ năm để giải mã. So sánh thì mật khẩu giống như một cánh cửa giấy, trong khi chìa khóa giống như một cánh cổng thép.

Bước 1: Tạo khóa SSH

在 Linux Ngoài ra, trên macOS, bạn có thể trực tiếp tạo cặp khóa RSA 4096 bit:

ssh-keygen -t rsa -b 4096

Nhấn Enter để lưu đường dẫn mặc định. /root/.ssh/id_rsa.

Nhập mật khẩu (tùy chọn), hoặc chỉ cần nhấn Enter và để trống.

Hệ thống sẽ tạo ra hai tập tin:

• Khóa riêng tư:id_rsa
• Khóa công khai:id_rsa.pub

Đây là "ổ khóa" và "chìa khóa" của bạn.

Bước 2: Cấu hình khóa công khai trên máy chủ

Đặt khóa công khai vào thư mục được cấp phép của VPS:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Đảm bảo thư mục /root/.ssh/ hiện hữu.

Bằng cách này, máy chủ sẽ chỉ nhận diện khóa công khai của bạn và không còn phụ thuộc vào mật khẩu nữa.

Bước 3: Chỉnh sửa tệp cấu hình SSH

Chỉnh sửa tệp cấu hình:

nano /etc/ssh/sshd_config

Sửa đổi các thông số sau:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

Bước này rất quan trọng: hãy vô hiệu hóa hoàn toàn tính năng đăng nhập bằng mật khẩu.

Bước 4: Khởi động lại dịch vụ SSH

Hãy thiết lập để cấu hình có hiệu lực ngay lập tức:

• CentOS7:

systemctl restart sshd

• Ubuntu / Debian:

systemctl restart ssh

Dịch vụ đã được xác nhận là đang hoạt động:

systemctl status sshd

Bước 5: Người dùng Windows chuyển đổi khóa bằng PuTTYGen.

Nếu bạn đang sử dụng Windows, bạn cần chuyển đổi khóa riêng tư sang định dạng PuTTY:

1. 打开 PuTTYGen
2. 点击 Phụ tải trọng tải id_rsa
3. 点击 Lưu khóa riêng Lưu dưới dạng .ppk
4. 在 PuTTY → Kết nối → SSH → Xác thực Chọn mục này .ppk 文件

Bằng cách này, bạn có thể đăng nhập an toàn vào VPS của mình bằng PuTTY.

Bước 6: Xác minh và phòng chống các cuộc tấn công vét cạn mật khẩu

Xác nhận cấu hình đã có hiệu lực:

grep "Failed password" /var/log/auth.log

Nhật ký chỉ hiển thị các lần đăng nhập thất bại của kẻ tấn công, chứ không hiển thị các lần đăng nhập thành công.

Phòng thủ thêm:

• Hợp tác Fail2Ban Tự động chặn các địa chỉ IP tấn công
• Thay đổi cổng mặc định (ví dụ: đổi thành 2222).
• Tường lửa chỉ cho phép các địa chỉ IP đáng tin cậy.

Ba kỹ thuật này có thể hoàn toàn ngăn chặn nỗ lực của tin tặc.

tóm lại

Thông qua Tạo khóa → Cấu hình khóa công khai → Chỉnh sửa sshd_config → Khởi động lại dịch vụ → Sử dụng PuTTY để chuyển đổi khóa Các bước này, của bạn HestiaCP Máy chủ ảo VPS có thể loại bỏ hoàn toàn nguy cơ tấn công dò mật khẩu bằng phương pháp vét cạn.

Các mục "Mật khẩu không chính xác" trong nhật ký đó chỉ là những nỗ lực vô ích của kẻ tấn công và không cho thấy rằng xác thực mật khẩu vẫn đang được bật.

Kết luận: Bảo mật là huyết mạch của máy chủ.

Trong thế giới an ninh thông tin, mật khẩu là mắt xích dễ bị tấn công nhất. Thay thế mật khẩu bằng mã khóa không chỉ là một lựa chọn công nghệ, mà còn thể hiện trách nhiệm và sự khôn ngoan.

Như đã nêu trong "Sách trắng về an ninh thông tin": "An ninh không phải là chi phí, mà là giá trị."

Vậy hãy hành động đi. Giải phóng VPS của bạn khỏi xiềng xích của mật khẩu, và để các cuộc tấn công vét cạn của tin tặc mãi mãi nằm trong nhật ký lỗi.