Recientemente, cuando un amigo estaba usando su host Yunfu, descubrió que otros habían escaneado violentamente SSH. Aunque la cuenta y la contraseña de SSH nunca han sido adivinadas, si alguien sigue mirándolo, algo sucederá tarde o temprano. Lo ayudé a configurar una lista blanca de inicio de sesión S-S-H, que solo permite el acceso desde su propia IP y rechaza todas las demás IP.

De hecho, la forma más sencilla de garantizar que S-S-H no esté pirateado es modificar el puerto 22 predeterminado. Por ejemplo, el VPS clásico que utilizamos tiene el puerto 22 modificado de forma predeterminada cuando se crea el VPS. El método más completo es prohibir el uso de una cuenta y contraseña para iniciar sesión y, en su lugar, utilizar una clave para iniciar sesión. Mientras la clave se mantenga segura, nadie puede ingresar al servidor.

Este artículo compartirá algunos métodos básicos para la protección de seguridad del servidor y del host VPS de Linux, como modificar el puerto SSH; agregar una lista blanca al inicio de sesión SSH para permitir el acceso únicamente desde su propia IP; también puede configurar un inicio de sesión con clave para prohibir el inicio de sesión con contraseña; De esta manera, el cracker "no tendrá entrada".

Por supuesto, los amigos experimentados también pueden desactivar directamente el inicio de sesión S-S-H. Si se ha instalado un panel como el WDCP del panel Pagoda BT, puede optar por desactivar S-S-H directamente en el fondo del panel o desactivarlos manualmente. Algunos comerciantes como Alibaba Cloud, Tencent Cloud, etc. también tienen sus propios grupos de seguridad. También puede optar por bloquear temporalmente puertos como el 22 en el grupo de seguridad y luego abrirlos manualmente cuando necesite usarlos. Es un poco problemático, es un método relativamente simple y conveniente.

Protección de seguridad del servidor y host VPS de Linux: SSH modifica el puerto, agrega la lista blanca y establece el inicio de sesión con clave

Para obtener más tutoriales sobre seguridad de servidores y creación de sitios web, aquí están:

  1. Mejore la búsqueda de sitios web: Baidu, búsqueda personalizada de Google y búsqueda autoconstruida de Elasticsearch
  2. Diez consejos de aceleración de CDN gratuitos de CloudFlare que quizás no conozcas: SSLDDOSCache
  3. WordPress habilita el método de aceleración de caché Nginx fastcgi_cache: ejemplo de configuración de Nginx

PD: Actualizado el 19 de marzo de 2020 , si su sitio web ha sido pirateado, puede consultar los siguientes métodos para resolver el problema: Troyanos de sitios web y análisis de solución de problemas de piratería de servidores: métodos de seguridad del servidor y host VPS.

1. Modificar el puerto predeterminado

El puerto predeterminado es 22, que es fácil de descifrar. Podemos cambiar el número de puerto por otro. Orden:

#SSH服务的启动与停止
service sshd status        # 状态
service sshd start         # 启动
service sshd stop          # 暂停
service sshd restart       # 重启

#改完端口后记得在防火墙放行,例如
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
#保存防火墙规则并重启
/etc/init.d/iptables save
service iptables restart

#修改端口号
#主配置文件:/etc/ssh/sshd_config

Port 22

5.1  Generar claves públicas y privadas

La forma más sencilla es utilizar el comando directamente en el host VPS de Linux para generar rápidamente:

# 生成 SSH 密钥对
[root@wzfoume ~]# ssh-keygen -t rsa  
Generating public/private rsa key pair.
# 建议直接回车使用默认路径 
Enter file in which to save the key (/root/.ssh/id_rsa): 
# 输入密码短语(留空则直接回车)
Enter passphrase (empty for no passphrase): 
# 重复密码短语 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|                 |
|      E S        |
| o   . o o       |
|+.o.. + + o      |
|o+...= + =       |
|+.oo+o+ ...      |
+-----------------+
[root@wzfoume ~]#

La clave generada se puede encontrar en el archivo .ssh en la raíz.

La modificación de la configuración es como se muestra a continuación:

5.3  Deshabilitar el inicio de sesión con contraseña

Ahora puede optar por utilizar una clave al conectarse mediante Xshell o Putty.

Cuando confirme que no hay ningún problema con la conexión de clave, puede desactivar el inicio de sesión con contraseña y solo estará disponible el inicio de sesión con clave. El método es: modificar el archivo /etc/ssh/sshd_config y cambiar PasswordAuthentication yes a PasswordAuthentication no; finalmente, reinicie sshd.

6. Resumen

Debemos prestar suficiente atención al tema de la seguridad S-S-H. La operación más simple es establecer una contraseña más compleja y modificar el puerto S-S-H predeterminado. Esta operación puede evitar una gran parte del escaneo de fuerza bruta.

Elegir desactivar S-S-H también le causará inconvenientes. Una forma más segura es deshabilitar el inicio de sesión con contraseña y utilizar el inicio de sesión con clave. Al mismo tiempo, la clave pública y la clave privada se almacenan por separado, por lo que pueden verse fácilmente en caso de fuga.

Deja una respuesta