في الآونة الأخيرة، عندما كان أحد الأصدقاء يستخدم مضيف Yunfu الخاص به، اكتشف أن SSH قد تم فحصه بعنف من قبل الآخرين. على الرغم من أن حساب SSH وكلمة المرور لم يتم تخمينهما مطلقًا، إذا استمر شخص ما في التحديق به، فسيحدث شيء ما عاجلاً أم آجلاً. لقد ساعدته في إعداد القائمة البيضاء لتسجيل الدخول S-S-H، والتي تسمح فقط بالوصول إلى تسجيل الدخول من عنوان IP الخاص به، وترفض جميع عناوين IP الأخرى.
في الواقع، أسهل طريقة لضمان عدم اختراق S-S-H هي تعديل المنفذ الافتراضي 22. على سبيل المثال، تم تعديل المنفذ 22 افتراضيًا عند إنشاء الخادم الافتراضي الخاص (VPS) الكلاسيكي الذي نستخدمه. الطريقة الأكثر شمولاً هي حظر استخدام الحساب وكلمة المرور لتسجيل الدخول، وبدلاً من ذلك استخدام مفتاح لتسجيل الدخول. وطالما ظل المفتاح آمنًا، فلن يتمكن أحد من الدخول إلى الخادم.
ستشارك هذه المقالة بعض الطرق الأساسية لحماية أمان مضيف Linux VPS والخادم، مثل تعديل منفذ SSH؛ وإضافة قائمة بيضاء لتسجيل الدخول إلى SSH للسماح بالوصول فقط من عنوان IP الخاص بك، ويمكنك أيضًا إعداد تسجيل دخول رئيسي لمنع تسجيل الدخول بكلمة مرور بهذه الطريقة، لن يكون للمفرقع "أي وسيلة للدخول".
بالطبع، يمكن للأصدقاء ذوي الخبرة أيضًا إيقاف تشغيل تسجيل الدخول S-S-H مباشرة إذا تم تثبيت لوحة مثل لوحة Pagoda BT WDCP، فيمكنك اختيار إيقاف تشغيل S-S-H مباشرة في خلفية اللوحة، أو إيقاف تشغيلها يدويًا. لدى بعض التجار مثل Alibaba Cloud وTencent Cloud وما إلى ذلك أيضًا مجموعات أمان خاصة بهم. يمكنك أيضًا اختيار حظر المنافذ مؤقتًا مثل 22 في مجموعة الأمان، ثم فتح المنافذ يدويًا عندما تحتاج إلى استخدامها مزعجة بعض الشيء، فهي طريقة بسيطة ومريحة نسبيًا.
لمزيد من الدروس حول أمن الخادم وبناء المواقع، هنا:
- تحسين البحث في موقع الويب - البحث المدمج في Baidu وGoogle وبحث Elasticsearch
- عشر نصائح مجانية لتسريع CDN من CloudFlare قد لا تعرفها -SSLDDOSCache
- يمكّن WordPress طريقة تسريع ذاكرة التخزين المؤقت Nginx fastcgi_cache - مثال لتكوين Nginx
ملاحظة: تم التحديث في 19 مارس 2020 ، إذا تم اختراق موقع الويب الخاص بك، فيمكنك الرجوع إلى الطرق التالية لحل المشكلة: تحليل استكشاف أخطاء اختراق حصان طروادة وخادم موقع الويب وإصلاحها - أساليب الأمان المحسنة لمضيف VPS والخادم.
1. قم بتعديل المنفذ الافتراضي
المنفذ الافتراضي هو 22، وهو سهل الاختراق ويمكننا تغيير رقم المنفذ إلى رقم آخر. طلب:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 إنشاء مفاتيح عامة وخاصة
أسهل طريقة هي استخدام الأمر مباشرةً على مضيف Linux VPS لإنشاء ما يلي بسرعة:
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
يمكن العثور على المفتاح الذي تم إنشاؤه ضمن ملف .ssh ضمن الجذر.
تعديل التكوين كما هو موضح أدناه:
5.3 تعطيل تسجيل الدخول بكلمة المرور
يمكنك الآن اختيار استخدام المفتاح عند الاتصال باستخدام Xshell أو Putty.
عندما تتأكد من عدم وجود مشكلة في الاتصال بالمفتاح، يمكنك تعطيل تسجيل الدخول بكلمة المرور وسيتوفر تسجيل الدخول بالمفتاح فقط. الطريقة هي: تعديل الملف /etc/ssh/sshd_config
وتغيير PasswordAuthentication Yes
إلى PasswordAuthentication no
وأخيرًا، إعادة تشغيل sshd.
6. ملخص
يجب أن نولي اهتمامًا كافيًا لمسألة أمان S-S-H. إن أبسط عملية هي تعيين كلمة مرور أكثر تعقيدًا وتعديل منفذ S-S-H الافتراضي. يمكن أن تمنع هذه العملية جزءًا كبيرًا من المسح بالقوة الغاشمة.
سيؤدي اختيار إيقاف تشغيل S-S-H أيضًا إلى إزعاج نفسك. والطريقة الأكثر أمانًا هي تعطيل تسجيل الدخول بكلمة المرور واستخدام تسجيل الدخول بالمفتاح بدلاً من ذلك. وفي الوقت نفسه، يتم تخزين المفتاح العام والمفتاح الخاص بشكل منفصل، بحيث يمكن رؤيتهما بسهولة في حالة تسريبهما.