文章目錄
超過90% 的VPS 被駭客攻擊,都是因為 SSH 弱密碼暴力破解。如果你還在用密碼登入伺服器,那就像把家門鑰匙掛在門口一樣危險。
這篇文章,我要帶你一步步操作,徹底擺脫密碼暴力破解的惡夢。我們結合 VPS 與 膩子軟件,用最實用的指令教程,幫你把SSH 安全性提升到頂級。
為什麼要用密鑰而不是密碼
密碼再複雜,也可能被暴力破解。駭客用工具每秒能嘗試上萬次密碼組合。
而 4096 位元RSA 金鑰,理論上需要數十億年才能破解。相比之下,密碼就像紙糊的門,而密鑰是鋼鐵大門。
第一步:產生SSH 金鑰
在 Linux 或MacOS 上,直接產生4096 位元RSA 金鑰對:
ssh-keygen -t rsa -b 4096
按Enter 儲存預設路徑 /root/.ssh/id_rsa。
輸入保護密碼(可選),或直接回車留空。
系統會產生兩個檔案:
- 私鑰:
id_rsa - 公鑰:
id_rsa.pub
這就是你的「門鎖」和「鑰匙」。
第二步:設定公鑰到伺服器
把公鑰放到VPS 的授權目錄:
cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
確保目錄 /root/.ssh/ 存在。
這樣,伺服器就只認你的公鑰,不再依賴密碼。
第三步:修改SSH 設定檔
編輯設定檔:
nano /etc/ssh/sshd_config
修改以下參數:
RSAAuthentication yes #RSA认证 PubkeyAuthentication yes #开启公钥验证 AuthorizedKeysFile .ssh/authorized_keys #验证文件路径 PasswordAuthentication no #禁止密码认证 PermitEmptyPasswords no #禁止空密码
這一步是關鍵,徹底關閉密碼登入。
第四步:重啟SSH 服務
讓配置立即生效:
- CentOS的7:
systemctl restart sshd
- Ubuntu的/ Debian的:
systemctl restart ssh
確認服務已啟動:
systemctl status sshd
第五步:Windows 使用者用PuTTYGen 轉換金鑰
如果你用Windows,需要把私鑰轉換成PuTTY 格式:
- 打開 PuTTYGen
- 點擊 加載 加載
id_rsa - 點擊 保存私鑰 儲存為
.ppk - 在 PuTTY → Connection → SSH → Auth 中選擇該
.ppk文件
這樣,你就能用PuTTY 安全登入VPS。
第六步:驗證並防禦暴力破解
確認配置生效:
grep "Failed password" /var/log/auth.log
日誌裡只會顯示攻擊者的失敗嘗試,不會有成功登入。
進一步防禦:
- 配合 Fail2Ban 自動封禁攻擊IP
- 修改預設連接埠(如改為2222)
- 防火牆只允許可信任IP
這三招能讓駭客徹底無功而返。
總結
通過 產生金鑰→ 設定公鑰→ 修改sshd_config → 重新啟動服務→ PuTTY 轉換金鑰 這幾個步驟,你的 赫斯提亞CP VPS 就能徹底擺脫密碼暴力破解的風險。
那些日誌裡的“Failed password”,只是攻擊者的徒勞嘗試,不代表密碼認證仍然開啟。
結語:安全是伺服器的生命線
在資訊安全的世界裡,密碼是最脆弱的環節。用密鑰取代密碼,不只是技術選擇,更是責任與智慧的體現。
就如《資訊安全白皮書》所說:“安全不是成本,而是價值。”
所以,行動起來吧。把你的VPS 從密碼的枷鎖中解放出來,讓駭客的暴力破解永遠停留在失敗的日誌裡。
希望陳溈亮博客( https://www.chenweiliang.com/ ) 分享的《如何解決SSH 暴力破解? HestiaCP配置VPS金鑰認證實戰教學》,對您有幫助。