最近、友人が Yunfu ホストを使用していたときに、SSH が他人によって激しくスキャンされていることを発見しました。SSH アカウントとパスワードが推測されたことはありませんが、誰かが彼を見つめ続ければ、遅かれ早かれ何かが起こるでしょう。私は彼が S-S-H ログイン ホワイトリストを設定するのを手伝いました。これは、彼自身の IP からのログイン アクセスのみを許可し、他のすべての IP を拒否します。
実際、S-S-H がクラックされていないことを確認する最も簡単な方法は、デフォルトのポート 22 を変更することです。たとえば、私たちが使用しているクラシック VPS では、VPS の作成時にデフォルトでポート 22 が変更されています。最も徹底した方法は、アカウントとパスワードによるログインを禁止し、キーを使用してログインすることです。キーが安全に保管されている限り、誰もサーバーに入ることができません。
この記事では、Linux VPS ホストとサーバーのセキュリティ保護のための基本的な方法をいくつか紹介します。たとえば、SSH ポートを変更して、自分の IP からのアクセスのみを許可するホワイトリストを追加したり、パスワードによるログインを禁止したりすることもできます。 . このようにして、クラッカーは「入り込むことができなくなります」。
もちろん、経験豊富な友人は、Pagoda BT パネル WDCP などのパネルがインストールされている場合は、パネルのバックグラウンドで S-S-H をオフにするか、手動でオフにするかを直接選択することもできます。 Alibaba Cloud、Tencent Cloud などの一部の販売者は、独自のセキュリティ グループを持っており、セキュリティ グループ内の 22 などのポートを一時的にブロックし、必要に応じてポートを手動で開くこともできます。は少し面倒ですが、比較的簡単で便利な方法です。
サーバー セキュリティと Web サイト構築に関するその他のチュートリアルについては、以下を参照してください。
- Web サイト検索の改善 - Baidu、Google カスタム検索、Elasticsearch の自社構築検索
- あなたが知らないかもしれない CloudFlare の無料 CDN 高速化に関する 10 のヒント - SSLDDOSCache
- WordPress で Nginx fastcgi_cache キャッシュ アクセラレーション メソッドを有効にする - Nginx 構成例
追記: 2020 年 3 月 19 日更新 、Web サイトがハッキングされた場合は、次の方法を参照して問題を解決できます: Web サイトのトロイの木馬とサーバー ハッキングのトラブルシューティング分析 - VPS ホストとサーバーの強化されたセキュリティ方法。
1. デフォルトのポートを変更する
デフォルトのポートは 22 ですが、これは簡単に破られてしまうため、別のポート番号に変更することができます。注文:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 公開鍵と秘密鍵を生成する
最も簡単な方法は、Linux VPS ホストでコマンドを直接使用して、以下をすばやく生成することです。
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
生成されたキーは、root の .ssh ファイルにあります。
設定変更は以下のようになります。
5.3 パスワードログインを無効にする
Xshell または Putty を使用して接続するときにキーを使用することを選択できるようになりました。
キーの接続に問題がないことを確認すると、パスワードログインを無効にし、キーログインのみが可能になります。方法は、/etc/ssh/sshd_config
ファイルを変更し、PasswordAuthentication yes
を PasswordAuthentication no
に変更します。最後に、sshd を再起動します。
6. まとめ
S-S-H セキュリティの問題に十分な注意を払う必要があります。最も簡単な操作は、より複雑なパスワードを設定し、デフォルトの S-S-H ポートを変更することです。この操作により、ブルート フォース スキャンの大部分を防ぐことができます。
S-S-H をオフにすると、自分自身にも不都合が生じます。より安全な方法は、パスワード ログインを無効にして、代わりにキー ログインを使用することです。同時に、公開鍵と秘密鍵は別々に保管されるため、漏洩した場合でも簡単に見破ることができます。