Recentemente, quando um amigo estava usando seu host Yunfu, ele descobriu que o SSH foi violentamente verificado por outras pessoas, embora a conta e a senha do SSH nunca tenham sido adivinhadas, se alguém continuar olhando para ele, algo acontecerá mais cedo ou mais tarde. Eu o ajudei a configurar uma lista de permissões de login SSH, que só permite acesso de login de seu próprio IP e rejeita todos os outros IPs.
Na verdade, a maneira mais fácil de garantir que o SSH não seja quebrado é modificar a porta 22 padrão. Por exemplo, o VPS clássico que usamos tem a porta 22 modificada por padrão quando o VPS é criado. O método mais completo é proibir o uso de conta e senha para fazer login e, em vez disso, usar uma chave para fazer login. Contanto que a chave seja mantida segura, ninguém poderá entrar no servidor.
Este artigo compartilhará alguns métodos básicos para proteção de segurança de host e servidor Linux VPS, como modificar a porta SSH; adicionar uma lista de permissões ao login SSH para permitir acesso apenas de seu próprio IP; . Desta forma, o cracker “não terá entrada”.
Claro, amigos experientes também podem desligar diretamente o login S-S-H. Se um painel como o painel Pagoda BT WDCP tiver sido instalado, você pode optar por desligar o S-S-H diretamente no fundo do painel ou desligá-los manualmente. Alguns comerciantes, como Alibaba Cloud, Tencent Cloud, etc. também têm seus próprios grupos de segurança. Você também pode optar por bloquear temporariamente portas como 22 no grupo de segurança e, em seguida, abrir manualmente as portas quando precisar usá-las. é um pouco problemático, é um método relativamente fácil.
Para mais tutoriais sobre segurança de servidores e construção de sites, aqui estão:
- Melhore a pesquisa de sites - Baidu, pesquisa personalizada do Google e pesquisa autoconstruída do Elasticsearch
- Dez dicas de aceleração de CDN grátis do CloudFlare que você talvez não conheça-SSLDDOSCache
- WordPress habilita o método de aceleração de cache Nginx fastcgi_cache - exemplo de configuração Nginx
PS: Atualizado em 19 de março de 2020 , se o seu site foi invadido, você pode consultar os seguintes métodos para resolver o problema: Trojan de site e análise de solução de problemas de hacking de servidor - Host VPS e métodos de segurança aprimorados do servidor.
1. Modifique a porta padrão
A porta padrão é 22, que é fácil de quebrar. Podemos alterar o número da porta para outro. Ordem:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 Gerar chaves públicas e privadas
A maneira mais fácil é usar o comando diretamente no host Linux VPS para gerar rapidamente:
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
A chave gerada pode ser encontrada no arquivo .ssh na raiz.
A modificação da configuração é mostrada abaixo:
5.3 Desativar login com senha
Agora você pode optar por usar uma chave ao conectar usando Xshell ou Putty.
Ao confirmar que não há problema com a conexão da chave, você pode desabilitar o login por senha e somente o login pela chave estará disponível. O método é: modificar o arquivo /etc/ssh/sshd_config e alterar PasswordAuthentication yes para PasswordAuthentication no;
6. Resumo
Devemos prestar bastante atenção à questão da segurança S-S-H. A operação mais simples é definir uma senha mais complexa e modificar a porta S-S-H padrão. Esta operação pode impedir grande parte da verificação de força bruta.
Optar por desligar o S-S-H também causará transtornos para você. Uma maneira mais segura é desabilitar o login por senha e usar o login por chave. Ao mesmo tempo, a chave pública e a chave privada são armazenadas separadamente, para que possam ser facilmente visualizadas em caso de vazamento.