वीपीएस होस्ट और सर्वर सुरक्षा सुरक्षा: एसएसएच पोर्ट संशोधन, श्वेतसूची जोड़, केवल कुंजी लॉगिन

हाल ही में, जब एक दोस्त अपने युनफू होस्ट का उपयोग कर रहा था, तो उसे पता चला कि एसएसएच को दूसरों द्वारा हिंसक रूप से स्कैन किया गया है, हालांकि एसएसएच खाते और पासवर्ड का कभी अनुमान नहीं लगाया गया है, अगर कोई उसे घूरता रहेगा, तो देर-सबेर कुछ होगा। मैंने उसे एस-एस-एच लॉगिन श्वेतसूची स्थापित करने में मदद की, जो केवल उसके अपने आईपी से लॉगिन एक्सेस की अनुमति देती है, और अन्य सभी आईपी को अस्वीकार कर देती है।

वास्तव में, यह सुनिश्चित करने का सबसे आसान तरीका है कि एस-एस-एच क्रैक न हो, डिफ़ॉल्ट पोर्ट 22 को संशोधित करना है। उदाहरण के लिए, हम जिस क्लासिक वीपीएस का उपयोग करते हैं, उसमें वीपीएस बनाते समय पोर्ट 22 डिफ़ॉल्ट रूप से संशोधित होता है। सबसे गहन तरीका लॉग इन करने के लिए खाते और पासवर्ड के उपयोग को प्रतिबंधित करना है, और इसके बजाय लॉग इन करने के लिए एक कुंजी का उपयोग करना है। जब तक कुंजी सुरक्षित रखी जाती है, कोई भी सर्वर में प्रवेश नहीं कर सकता है।

यह आलेख लिनक्स वीपीएस होस्ट और सर्वर सुरक्षा सुरक्षा के लिए कुछ बुनियादी तरीकों को साझा करेगा, जैसे एसएसएच पोर्ट को संशोधित करना, केवल अपने आईपी से पहुंच की अनुमति देने के लिए एसएसएच लॉगिन में एक श्वेतसूची जोड़ना; आप पासवर्ड लॉगिन को प्रतिबंधित करने के लिए एक कुंजी लॉगिन भी सेट कर सकते हैं इस तरह, पटाखा के पास "कोई रास्ता नहीं" होगा।

बेशक, अनुभवी मित्र सीधे एस-एस-एच लॉगिन को बंद कर सकते हैं यदि पगोडा बीटी पैनल डब्ल्यूडीसीपी जैसे पैनल स्थापित किया गया है, तो आप सीधे पैनल की पृष्ठभूमि में एस-एस-एच को बंद करना चुन सकते हैं, या उन्हें मैन्युअल रूप से बंद कर सकते हैं। कुछ व्यापारियों जैसे अलीबाबा क्लाउड, टेनसेंट क्लाउड आदि के पास अपने स्वयं के सुरक्षा समूह भी हैं। आप सुरक्षा समूह में 22 जैसे बंदरगाहों को अस्थायी रूप से ब्लॉक करना भी चुन सकते हैं, और फिर जब आपको उनका उपयोग करने की आवश्यकता हो तो मैन्युअल रूप से बंदरगाहों को खोल सकते हैं थोड़ा परेशानी भरा है, यह अपेक्षाकृत आसान और सुविधाजनक तरीका है।

सर्वर सुरक्षा और वेबसाइट निर्माण पर अधिक ट्यूटोरियल के लिए, यहां हैं:

1. वेबसाइट खोज में सुधार करें - Baidu, Google कस्टम खोज और Elasticsearch स्व-निर्मित खोज
2. दस क्लाउडफ्लेयर फ्री सीडीएन एक्सेलेरेशन युक्तियाँ जो आप नहीं जानते होंगे-SSLDDOSCache
3. वर्डप्रेस Nginx fastcgi_cache कैश एक्सेलेरेशन विधि को सक्षम करता है - Nginx कॉन्फ़िगरेशन उदाहरण

पीएस: 19 मार्च, 2020 को अपडेट किया गया , यदि आपकी वेबसाइट हैक हो गई है, तो आप समस्या को हल करने के लिए निम्नलिखित तरीकों का उल्लेख कर सकते हैं: वेबसाइट ट्रोजन और सर्वर हैकिंग समस्या निवारण विश्लेषण - वीपीएस होस्ट और सर्वर उन्नत सुरक्षा विधियां।

1. डिफ़ॉल्ट पोर्ट को संशोधित करें

डिफ़ॉल्ट पोर्ट 22 है, जिसे क्रैक करना आसान है हम पोर्ट नंबर को दूसरे में बदल सकते हैं। आदेश देना:

#SSH服务的启动与停止
service sshd status        # 状态
service sshd start         # 启动
service sshd stop          # 暂停
service sshd restart       # 重启

#改完端口后记得在防火墙放行，例如
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
#保存防火墙规则并重启
/etc/init.d/iptables save
service iptables restart

#修改端口号
#主配置文件：/etc/ssh/sshd_config

Port 22

5.1  सार्वजनिक और निजी कुंजी उत्पन्न करें

त्वरित रूप से उत्पन्न करने के लिए लिनक्स वीपीएस होस्ट पर सीधे कमांड का उपयोग करना सबसे आसान तरीका है:

# 生成 SSH 密钥对
[root@wzfoume ~]# ssh-keygen -t rsa  
Generating public/private rsa key pair.
# 建议直接回车使用默认路径 
Enter file in which to save the key (/root/.ssh/id_rsa): 
# 输入密码短语（留空则直接回车）
Enter passphrase (empty for no passphrase): 
# 重复密码短语 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|                 |
|      E S        |
| o   . o o       |
|+.o.. + + o      |
|o+...= + =       |
|+.oo+o+ ...      |
+-----------------+
[root@wzfoume ~]#

जेनरेट की गई कुंजी रूट के अंतर्गत .ssh फ़ाइल के अंतर्गत पाई जा सकती है।

कॉन्फ़िगरेशन संशोधन नीचे दिखाया गया है:

5.3   पासवर्ड लॉगिन अक्षम करें

अब आप एक्सशेल या पुट्टी का उपयोग करके कनेक्ट करते समय एक कुंजी का उपयोग करना चुन सकते हैं।

जब आप पुष्टि करते हैं कि कुंजी कनेक्शन में कोई समस्या नहीं है, तो आप पासवर्ड लॉगिन अक्षम कर सकते हैं और केवल कुंजी लॉगिन उपलब्ध है। विधि यह है: /etc/ssh/sshd_config फ़ाइल को संशोधित करें और पासवर्ड प्रमाणीकरण हाँ को पासवर्ड प्रमाणीकरण संख्या में बदलें, अंत में sshd को पुनरारंभ करें।

6. सारांश

हमें एस-एस-एच सुरक्षा के मुद्दे पर पर्याप्त ध्यान देना चाहिए। सबसे सरल ऑपरेशन एक अधिक जटिल पासवर्ड सेट करना और डिफ़ॉल्ट एस-एस-एच पोर्ट को संशोधित करना है। यह ऑपरेशन ब्रूट फोर्स स्कैनिंग के एक बड़े हिस्से को रोक सकता है।

एस-एस-एच को बंद करने का चयन करने से आपको भी असुविधा होगी। एक सुरक्षित तरीका पासवर्ड लॉगिन को अक्षम करना और इसके बजाय कुंजी लॉगिन का उपयोग करना है। वहीं, सार्वजनिक कुंजी और निजी कुंजी को अलग-अलग संग्रहीत किया जाता है, ताकि लीक होने पर उन्हें आसानी से देखा जा सके।