Recentemente, quando un amico stava usando il suo host Yunfu, ha scoperto che SSH è stato scansionato violentemente da altri. Sebbene l'account SSH e la password non siano mai stati indovinati, se qualcuno continua a fissarlo, prima o poi succederà qualcosa. L'ho aiutato a impostare una whitelist di accesso S-S-H, che consente l'accesso solo dal suo IP e rifiuta tutti gli altri IP.
Infatti, il modo più semplice per assicurarsi che S-S-H non venga crackato è modificare la porta 22 predefinita. Ad esempio, il classico VPS che utilizziamo ha la porta 22 modificata per impostazione predefinita quando viene creato il VPS. Il metodo più completo consiste nel vietare l'uso di account e password per accedere e utilizzare invece una chiave per accedere. Finché la chiave è tenuta al sicuro, nessuno può accedere al server.
Questo articolo condividerà alcuni metodi di base per la protezione della sicurezza dell'host e del server VPS Linux, come la modifica della porta SSH; In questo modo il cracker non avrà “nessuna via d'ingresso”.
Naturalmente, gli amici esperti possono anche disattivare direttamente l'accesso S-S-H. Se è stato installato un pannello come il pannello Pagoda BT WDCP, puoi scegliere direttamente di disattivare S-S-H sullo sfondo del pannello o disattivarli manualmente. Alcuni commercianti come Alibaba Cloud, Tencent Cloud, ecc. hanno anche i propri gruppi di sicurezza. Puoi anche scegliere di bloccare temporaneamente porte come 22 nel gruppo di sicurezza e quindi aprire manualmente le porte quando è necessario utilizzarle è un po' problematico, è un metodo relativamente semplice e conveniente.
Per ulteriori tutorial sulla sicurezza del server e sulla creazione di siti Web, ecco:
- Migliora la ricerca sul sito web: Baidu, ricerca personalizzata Google e ricerca autocostruita Elasticsearch
- Dieci suggerimenti gratuiti per l'accelerazione CDN di CloudFlare che potresti non conoscere: SSLDDOSCache
- WordPress abilita il metodo di accelerazione della cache Nginx fastcgi_cache - Esempio di configurazione Nginx
PS: aggiornato il 19 marzo 2020 , se il tuo sito web è stato violato, puoi fare riferimento ai seguenti metodi per risolvere il problema: Analisi della risoluzione dei problemi di hacking del server e del trojan del sito web - Metodi di sicurezza avanzati per host e server VPS.
1. Modificare la porta predefinita
La porta predefinita è 22, che è facile da violare. Possiamo cambiare il numero di porta con un altro. Ordine:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 Genera chiavi pubbliche e private
Il modo più semplice è utilizzare il comando direttamente sull'host VPS Linux per generare rapidamente:
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
La chiave generata può essere trovata nel file .ssh sotto root.
La modifica della configurazione è come mostrato di seguito:
5.3 Disabilita accesso tramite password
Ora puoi scegliere di utilizzare una chiave quando ti connetti utilizzando Xshell o Putty.
Quando confermi che non ci sono problemi con la connessione della chiave, puoi disabilitare l'accesso con password e sarà disponibile solo l'accesso con la chiave. Il metodo è: modificare il file /etc/ssh/sshd_config
e cambiare PasswordAuthentication yes
in PasswordAuthentication no
infine riavviare sshd.
6. Riepilogo
Dobbiamo prestare sufficiente attenzione al problema della sicurezza S-S-H. L'operazione più semplice è impostare una password più complessa e modificare la porta S-S-H predefinita. Questa operazione può impedire gran parte della scansione con forza bruta.
Scegliere di disattivare S-S-H causerà anche inconvenienti a te stesso. Un modo più sicuro è disabilitare l'accesso con password e utilizzare invece l'accesso con chiave. Allo stesso tempo, la chiave pubblica e quella privata vengono archiviate separatamente, in modo che possano essere facilmente individuate in caso di fuga.