ווי אזוי צו פארמיידן SSH ברוט-פארס אטאקעס? א פראקטישע טוטאריעל וועגן קאנפיגורירן VPS שליסל אויטענטיפיקאציע מיט HestiaCP.

איבער 90% פון VPS אטאקעס זענען צוליב... SSH שוואַך פּאַראָל ברוט-פאָרס אַטאַקאויב איר לאָגט זיך נאָך אַרײַן אין סערווער מיט אַ פּאַראָל, איז עס אַזוי געפערלעך ווי לאָזן דעם הויז־שליסל הענגען אויף דער טיר.

אין דעם אַרטיקל, וועל איך אייך פירן שריט ביי שריט צו גאָר אַנטלויפן דעם שרעקלעכן חלום פון ברוט-פאָרס פּאַראָל אַטאַקעס. מיר וועלן קאָמבינירן... וופּס מיט שטיל软件די טוטאָריאַל ניצט די מערסט פּראַקטישע קאָמאַנד-ליניע מכשירים צו העלפֿן אײַך אויפֿהייבן אײַער SSH זיכערהייט צום העכסטן לעוועל.

פארוואס ניצן א שליסל אנשטאט א פאסווארט?

נישט קיין חילוק ווי קאָמפּליצירט אַ פּאַראָל איז, קען מען עס נאָך אַלץ קראַקן מיט ברוטע קראַפט. העקערס קענען נוצן מכשירים צו פּרובירן צענדליקער טויזנטער פּאַראָל קאָמבינאַציעס פּער סעקונדע.

און 4096-ביט RSA שליסלאין טעאריע, וואלט עס גענומען ביליאנען יארן צו קראקן. אין פארגלייך, איז א פאסווארט ווי א פאפירענע טיר, בשעת א שליסל איז א שטאלענע טויער.

שריט 1: שאַפֿן אַן SSH שליסל

在 לינוקס אדער, אויף macOS, קענט איר גלייך דזשענערירן א 4096-ביט RSA שליסל פּאָר:

ssh-keygen -t rsa -b 4096

דריק אויף Enter צו ראַטעווען דעם פעליקייט דרך. /root/.ssh/id_rsa.

אַרייַן אַ פּאַראָל (אויב איר ווילט), אָדער פשוט דריקן אויף "ענטער" און לאָזן עס ליידיק.

די סיסטעם וועט שאַפֿן צוויי טעקעס:

• פּריוואַטער שליסל:id_rsa
• ציבור שליסל:id_rsa.pub

דאָס איז דיין "שלאָס" און "שליסל".

שריט 2: קאָנפיגורירן דעם עפנטלעכן שליסל אויפן סערווער

שטעלט דעם פובליק שליסל אין דעם VPS'ס לייסענסד וועגווייזער:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

זיכער מאַכן דעם דירעקטאָרי /root/.ssh/ עקזיסטירן.

אויף דעם אופן וועט דער סערווער נאר דערקענען אייער עפנטלעכן שליסל און וועט מער נישט פארלאזן זיך אויפן פאסווארט.

שריט 3: מאָדיפיצירן די SSH קאָנפיגוראַציע טעקע

רעדאַקטירן די קאָנפיגוראַציע טעקע:

nano /etc/ssh/sshd_config

מאָדיפיצירן די פאלגענדע פּאַראַמעטערס:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

דער שריט איז קריטיש: גאָר דיאַקטיווירן פּאַראָל לאָגין.

שריט 4: ריסטאַרט די SSH סערוויס

מאַכט די קאָנפיגוראַציע גלייך אין קראַפט:

• סענטאָס7:

systemctl restart sshd

• ובונטו / דעביאַן:

systemctl restart ssh

סערוויס איז באשטעטיקט צו לויפן:

systemctl status sshd

שריט 5: ווינדאָוס באַניצער קאָנווערטירן דעם שליסל ניצנדיק PuTTYGen.

אויב איר ניצט ווינדאָוס, דאַרפט איר קאָנווערטירן דעם פּריוואַטן שליסל צו PuTTY פֿאָרמאַט:

1. 打开 פּוטי דזשענער
2. גיט לאָדן מאַסע id_rsa
3. גיט היט פּריוואַט שליסל ראַטעווען ווי .ppk
4. 在 PuTTY → פֿאַרבינדונג → SSH → אויטאָריזאַציע אויסקלייבן דאָס .ppk 文件

אזוי קענט איר זיכער אריינלאגירן אין אייער VPS ניצנדיק PuTTY.

שריט 6: וועריפיצירן און באַשיצן קעגן ברוט-פאָרס אַטאַקעס

באַשטעטיקן אַז די קאָנפיגוראַציע איז אין קראַפט:

grep "Failed password" /var/log/auth.log

די לאָגס וועלן נאָר ווײַזן די אַטאַקירער'ס דורכגעפאַלענע פּרוּוון, נישט געלונגענע לאָגינס.

ווייטערדיגע פארטיידיקונג:

• 配合 Fail2Ban אויטאָמאַטיש בלאָקירן אַטאַקירנדיקע IP אַדרעסן
• ענדערן דעם פעליקייט פּאָרט (למשל, ענדערן עס צו 2222).
• פיירוואַל ערלויבט נאָר טראַסטיד IP אַדרעסעס

די דריי טעכניקן קענען אינגאנצן שטערן די השתדלות פון א העקער.

总结

דורך שאַפֿן שליסל → קאָנפֿיגורירן עפֿנטלעכן שליסל → מאָדיפֿיצירן sshd_config → ריסטאַרט סערוויס → PuTTY צו קאָנווערטירן שליסל די טריט, אייערע HestiaCP א VPS קען אינגאנצן עלימינירן דעם ריזיקע פון ​​פּאַראָל ברוט-פאָרס אטאקעס.

די "דורכגעפאלענע פּאַראָל" איינטראַגעס אין יענע לאָגס זענען בלויז אומזיסטע פּרוּוון פֿון אַטאַקערס און ווײַזן נישט אָן אַז פּאַראָל אויטענטיפֿיקאַציע איז נאָך אַקטיוויזירט.

מסקנא: זיכערהייט איז די לעבנס-ליניע פון ​​א סערווער.

אין דער וועלט פון אינפֿאָרמאַציע זיכערהייט, זענען פּאַסווערטער די מערסט פאַרוואונדבאַרע פֿאַרבינדונג. פֿאַרבייטן פּאַסווערטער מיט שליסלען איז נישט נאָר אַ טעכנאָלאָגישע ברירה, נאָר אויך אַ אָפּשפּיגלונג פֿון פֿאַראַנטוואָרטלעכקייט און חכמה.

ווי געזאגט אין דעם "אינפארמאציע זיכערהייט ווייסע פאפיר": "זיכערהייט איז נישט א קאסט, נאר א ווערט."

אַלזאָ נעמט אַקציע. באַפֿרײַט אײַער VPS פֿון די קייטן פֿון פּאַסווערטער, און לאָזט די כאַקערס' ברוט-פֿאָרס אַטאַקעס בלייַבן אויף אייביק אין די דורכגעפֿאַלענע לאָגס.