最近、友人が Yunfu ホストを使用していたときに、SSH が他人によって激しくスキャンされていることを発見しました。SSH アカウントとパスワードが推測されたことはありませんが、誰かが彼を見つめ続ければ、遅かれ早かれ何かが起こるでしょう。私は彼が S-S-H ログイン ホワイトリストを設定するのを手伝いました。これは、彼自身の IP からのログイン アクセスのみを許可し、他のすべての IP を拒否します。

実際、S-S-H がクラックされていないことを確認する最も簡単な方法は、デフォルトのポート 22 を変更することです。たとえば、私たちが使用しているクラシック VPS では、VPS の作成時にデフォルトでポート 22 が変更されています。最も徹底した方法は、アカウントとパスワードによるログインを禁止し、キーを使用してログインすることです。キーが安全に保管されている限り、誰もサーバーに入ることができません。

この記事では、Linux VPS ホストとサーバーのセキュリティ保護のための基本的な方法をいくつか紹介します。たとえば、SSH ポートを変更して、自分の IP からのアクセスのみを許可するホワイトリストを追加したり、パスワードによるログインを禁止したりすることもできます。 . このようにして、クラッカーは「入り込むことができなくなります」。

もちろん、経験豊富な友人は、Pagoda BT パネル WDCP などのパネルがインストールされている場合は、パネルのバックグラウンドで S-S-H をオフにするか、手動でオフにするかを直接選択することもできます。 Alibaba Cloud、Tencent Cloud などの一部の販売者は、独自のセキュリティ グループを持っており、セキュリティ グループ内の 22 などのポートを一時的にブロックし、必要に応じてポートを手動で開くこともできます。は少し面倒ですが、比較的簡単で便利な方法です。

Linux VPS ホストとサーバーのセキュリティ保護: SSH でポートを変更し、ホワイトリストを追加し、キーログインを設定します。

サーバー セキュリティと Web サイト構築に関するその他のチュートリアルについては、以下を参照してください。

  1. Web サイト検索の改善 - Baidu、Google カスタム検索、Elasticsearch の自社構築検索
  2. あなたが知らないかもしれない CloudFlare の無料 CDN 高速化に関する 10 のヒント - SSLDDOSCache
  3. WordPress で Nginx fastcgi_cache キャッシュ アクセラレーション メソッドを有効にする - Nginx 構成例

追記: 2020 年 3 月 19 日更新 、Web サイトがハッキングされた場合は、次の方法を参照して問題を解決できます: Web サイトのトロイの木馬とサーバー ハッキングのトラブルシューティング分析 - VPS ホストとサーバーの強化されたセキュリティ方法。

1. デフォルトのポートを変更する

デフォルトのポートは 22 ですが、これは簡単に破られてしまうため、別のポート番号に変更することができます。注文:

#SSH服务的启动与停止
service sshd status        # 状态
service sshd start         # 启动
service sshd stop          # 暂停
service sshd restart       # 重启

#改完端口后记得在防火墙放行,例如
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
#保存防火墙规则并重启
/etc/init.d/iptables save
service iptables restart

#修改端口号
#主配置文件:/etc/ssh/sshd_config

Port 22

5.1  公開鍵と秘密鍵を生成する

最も簡単な方法は、Linux VPS ホストでコマンドを直接使用して、以下をすばやく生成することです。

# 生成 SSH 密钥对
[root@wzfoume ~]# ssh-keygen -t rsa  
Generating public/private rsa key pair.
# 建议直接回车使用默认路径 
Enter file in which to save the key (/root/.ssh/id_rsa): 
# 输入密码短语(留空则直接回车)
Enter passphrase (empty for no passphrase): 
# 重复密码短语 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|                 |
|      E S        |
| o   . o o       |
|+.o.. + + o      |
|o+...= + =       |
|+.oo+o+ ...      |
+-----------------+
[root@wzfoume ~]#

生成されたキーは、root の .ssh ファイルにあります。

設定変更は以下のようになります。

5.3  パスワードログインを無効にする

Xshell または Putty を使用して接続するときにキーを使用することを選択できるようになりました。

キーの接続に問題がないことを確認すると、パスワードログインを無効にし、キーログインのみが可能になります。方法は、/etc/ssh/sshd_config ファイルを変更し、PasswordAuthentication yesPasswordAuthentication no に変更します。最後に、sshd を再起動します。

6. まとめ

S-S-H セキュリティの問題に十分な注意を払う必要があります。最も簡単な操作は、より複雑なパスワードを設定し、デフォルトの S-S-H ポートを変更することです。この操作により、ブルート フォース スキャンの大部分を防ぐことができます。

S-S-H をオフにすると、自分自身にも不都合が生じます。より安全な方法は、パスワード ログインを無効にして、代わりにキー ログインを使用することです。同時に、公開鍵と秘密鍵は別々に保管されるため、漏洩した場合でも簡単に見破ることができます。

返信を残す