Als ein Freund kürzlich seinen Yunfu-Host nutzte, stellte er fest, dass SSH von anderen gewaltsam gescannt wurde. Obwohl das SSH-Konto und das Passwort nie erraten wurden, wird früher oder später etwas passieren, wenn ihn jemand weiterhin anstarrt. Ich habe ihm geholfen, eine S-S-H-Login-Whitelist einzurichten, die nur den Login-Zugriff von seiner eigenen IP aus zulässt und alle anderen IPs ablehnt.
Tatsächlich besteht der einfachste Weg, um sicherzustellen, dass S-S-H nicht geknackt wird, darin, den Standardport 22 zu ändern. Beispielsweise wird beim klassischen VPS, den wir verwenden, Port 22 standardmäßig geändert, wenn der VPS erstellt wird. Die gründlichste Methode besteht darin, die Verwendung von Konto und Passwort zum Anmelden zu verbieten und stattdessen einen Schlüssel zum Anmelden zu verwenden. Solange der Schlüssel sicher aufbewahrt wird, kann niemand den Server betreten.
In diesem Artikel werden einige grundlegende Methoden für den Sicherheitsschutz von Linux-VPS-Hosts und -Servern beschrieben, z. B. das Hinzufügen einer Whitelist zur SSH-Anmeldung, um den Zugriff nur von Ihrer eigenen IP aus zu ermöglichen . Auf diese Weise hat der Cracker „keinen Weg hinein“.
Natürlich können erfahrene Freunde die S-S-H-Anmeldung auch direkt deaktivieren. Wenn ein Panel wie das Pagoda BT-Panel WDCP installiert wurde, können Sie S-S-H direkt im Hintergrund des Panels deaktivieren oder sie manuell deaktivieren. Einige Händler wie Alibaba Cloud, Tencent Cloud usw. haben auch ihre eigenen Sicherheitsgruppen. Sie können auch Ports wie 22 in der Sicherheitsgruppe vorübergehend blockieren und die Ports dann manuell öffnen, wenn Sie sie verwenden müssen ist etwas mühsam, es ist eine relativ einfache und bequeme Methode.
Weitere Tutorials zu Serversicherheit und Website-Erstellung finden Sie hier:
- Verbessern Sie die Website-Suche – Baidu, die benutzerdefinierte Suche von Google und die selbst erstellte Suche von Elasticsearch
- Zehn kostenlose CloudFlare-CDN-Beschleunigungstipps, die Sie vielleicht nicht kennen – SSLDOSCache
- WordPress aktiviert die Nginx-Cache-Beschleunigungsmethode fastcgi_cache – Nginx-Konfigurationsbeispiel
PS: Aktualisiert am 19. März 2020 : Wenn Ihre Website gehackt wurde, können Sie auf die folgenden Methoden zurückgreifen, um das Problem zu lösen: Website-Trojaner- und Server-Hacking-Fehlerbehebungsanalyse – VPS-Host- und Server-verstärkte Sicherheitsmethoden.
1. Ändern Sie den Standardport
Der Standardport ist 22, der leicht zu knacken ist. Wir können die Portnummer in eine andere ändern. Befehl:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 Öffentliche und private Schlüssel generieren
Am einfachsten ist es, den Befehl direkt auf dem Linux-VPS-Host zu verwenden, um schnell Folgendes zu generieren:
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
Der generierte Schlüssel befindet sich in der .ssh-Datei unter root.
Die Konfigurationsänderung ist wie folgt:
5.3 Passwortanmeldung deaktivieren
Jetzt können Sie beim Herstellen einer Verbindung über Xshell oder Putty einen Schlüssel verwenden.
Wenn Sie bestätigen, dass kein Problem mit der Schlüsselverbindung vorliegt, können Sie die Passwortanmeldung deaktivieren und nur die Schlüsselanmeldung ist verfügbar. Die Methode lautet: Ändern Sie die Datei /etc/ssh/sshd_config
und ändern Sie PasswordAuthentication yes
in PasswordAuthentication no
. Starten Sie abschließend sshd neu.
6. Zusammenfassung
Wir müssen dem Problem der S-S-H-Sicherheit genügend Aufmerksamkeit schenken. Der einfachste Vorgang besteht darin, ein komplexeres Passwort festzulegen und den Standard-S-S-H-Port zu ändern. Dieser Vorgang kann einen großen Teil des Brute-Force-Scannens verhindern.
Die Entscheidung, S-S-H zu deaktivieren, wird Ihnen auch Unannehmlichkeiten bereiten. Eine sicherere Möglichkeit besteht darin, die Passwort-Anmeldung zu deaktivieren und stattdessen die Schlüssel-Anmeldung zu verwenden. Gleichzeitig werden der öffentliche Schlüssel und der private Schlüssel getrennt gespeichert, sodass sie im Falle eines Lecks leicht durchschaut werden können.