Récemment, alors qu'un ami utilisait son hôte Yunfu, il a découvert que SSH avait été violemment analysé par d'autres. Bien que le compte et le mot de passe SSH n'aient jamais été devinés, si quelqu'un continue de le regarder, quelque chose se produira tôt ou tard. Je l'ai aidé à mettre en place une liste blanche de connexion SSH, qui autorise uniquement l'accès à la connexion à partir de sa propre adresse IP et rejette toutes les autres adresses IP.
En fait, le moyen le plus simple de s'assurer que S-S-H n'est pas cracké est de modifier le port 22 par défaut. Par exemple, le VPS classique que nous utilisons a le port 22 modifié par défaut lors de la création du VPS. La méthode la plus complète consiste à interdire l'utilisation d'un compte et d'un mot de passe pour se connecter, et à utiliser à la place une clé pour se connecter. Tant que la clé est conservée en sécurité, personne ne peut accéder au serveur.
Cet article partagera quelques méthodes de base pour la protection de la sécurité de l'hôte et du serveur VPS Linux, telles que la modification du port SSH ; l'ajout d'une liste blanche à la connexion SSH pour autoriser uniquement l'accès à partir de votre propre adresse IP ; vous pouvez également configurer une connexion par clé pour interdire la connexion par mot de passe ; De cette façon, le cracker n’aura « aucun moyen d’entrer ».
Bien sûr, les amis expérimentés peuvent également désactiver directement la connexion S-S-H. Si un panneau tel que le panneau Pagoda BT WDCP a été installé, vous pouvez directement choisir de désactiver S-S-H en arrière-plan du panneau, ou de les désactiver manuellement. Certains commerçants tels que Alibaba Cloud, Tencent Cloud, etc. ont également leurs propres groupes de sécurité. Vous pouvez également choisir de bloquer temporairement les ports tels que 22 dans le groupe de sécurité, puis d'ouvrir manuellement les ports lorsque vous en avez besoin. C'est un peu gênant, c'est une méthode relativement simple et pratique.
Pour plus de didacticiels sur la sécurité des serveurs et la création de sites Web, voici :
- Améliorer la recherche sur les sites Web – Baidu, recherche personnalisée Google et recherche intégrée Elasticsearch
- Dix conseils d'accélération CDN gratuits CloudFlare que vous ne connaissez peut-être pas -SSLDDOSCache
- WordPress active la méthode d'accélération du cache Nginx fastcgi_cache - Exemple de configuration Nginx
PS : mis à jour le 19 mars 2020 , si votre site Web a été piraté, vous pouvez vous référer aux méthodes suivantes pour résoudre le problème : Analyse de dépannage des chevaux de Troie de sites Web et du piratage de serveur – Méthodes de sécurité de l'hôte et du serveur VPS.
1. Modifier le port par défaut
Le port par défaut est 22, ce qui est facile à pirater. Nous pouvons remplacer le numéro de port par un autre. Commande:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 Générer des clés publiques et privées
Le moyen le plus simple est d'utiliser la commande directement sur l'hôte VPS Linux pour générer rapidement :
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
La clé générée se trouve sous le fichier .ssh sous root.
La modification de la configuration est la suivante :
5.3 Désactiver la connexion par mot de passe
Vous pouvez désormais choisir d'utiliser une clé lors de la connexion à l'aide de Xshell ou Putty.
Lorsque vous confirmez qu'il n'y a pas de problème avec la connexion par clé, vous pouvez désactiver la connexion par mot de passe et seule la connexion par clé est disponible. La méthode est la suivante : modifiez le fichier /etc/ssh/sshd_config et remplacez PasswordAuthentication yes par PasswordAuthentication no ; enfin, redémarrez sshd.
6. Résumé
Nous devons accorder suffisamment d'attention à la question de la sécurité S-S-H. L'opération la plus simple consiste à définir un mot de passe plus complexe et à modifier le port S-S-H par défaut. Cette opération peut empêcher une grande partie de l'analyse par force brute.
Choisir de désactiver S-S-H vous causera également des désagréments. Un moyen plus sûr consiste à désactiver la connexion par mot de passe et à utiliser la connexion par clé à la place. Dans le même temps, la clé publique et la clé privée sont stockées séparément, de sorte qu'elles puissent être facilement visibles en cas de fuite.