Gần đây, khi một người bạn đang sử dụng máy chủ Yunfu của mình, anh ấy phát hiện ra rằng SSH đã bị người khác quét một cách thô bạo. Mặc dù tài khoản và mật khẩu SSH chưa bao giờ bị đoán ra nhưng nếu ai đó cứ nhìn chằm chằm vào anh ấy thì sớm muộn gì cũng sẽ xảy ra chuyện. Tôi đã giúp anh ấy thiết lập danh sách trắng đăng nhập S-S-H, danh sách này chỉ cho phép truy cập đăng nhập từ IP của chính anh ấy và từ chối tất cả các IP khác.

Trên thực tế, cách dễ nhất để đảm bảo S-S-H không bị bẻ khóa là sửa đổi cổng 22 mặc định. Ví dụ: VPS cổ điển mà chúng tôi sử dụng có cổng 22 được sửa đổi theo mặc định khi VPS được tạo. Phương pháp triệt để nhất là cấm sử dụng tài khoản và mật khẩu để đăng nhập, thay vào đó sử dụng khóa để đăng nhập. Chỉ cần khóa được giữ an toàn thì không ai có thể vào máy chủ.

Bài viết này sẽ chia sẻ một số phương pháp cơ bản để bảo vệ an ninh máy chủ và máy chủ Linux, chẳng hạn như sửa đổi cổng SSH; thêm danh sách trắng vào đăng nhập SSH, chỉ cho phép truy cập IP của riêng bạn, bạn cũng có thể thiết lập khóa đăng nhập và cấm đăng nhập bằng mật khẩu; bằng cách này, kẻ bẻ khóa sẽ "không có đường vào".

Tất nhiên, những người bạn có kinh nghiệm cũng có thể trực tiếp tắt đăng nhập S-S-H. Nếu một bảng như bảng điều khiển WDCP của chùa BT đã được cài đặt, bạn có thể trực tiếp chọn tắt S-S-H trong nền của bảng đó hoặc tắt chúng theo cách thủ công. Một số thương gia như Alibaba Cloud, Tencent Cloud, v.v. cũng có các nhóm bảo mật riêng. Bạn cũng có thể chọn chặn tạm thời các cổng như 22 trong nhóm bảo mật, sau đó mở các cổng theo cách thủ công khi bạn cần sử dụng chúng. là một chút rắc rối, nó là phương pháp tương đối dễ dàng và thuận tiện.

Bảo vệ an ninh máy chủ và máy chủ Linux VPS: SSH sửa đổi cổng, thêm danh sách trắng và đặt khóa đăng nhập

Để biết thêm hướng dẫn về bảo mật máy chủ và xây dựng trang web, đây là:

  1. Cải thiện tìm kiếm trang web - Tìm kiếm tùy chỉnh của Baidu, Google và tìm kiếm tự xây dựng của Elaticsearch
  2. Mười mẹo tăng tốc CDN miễn phí của CloudFlare mà bạn có thể không biết-SSLDDOSCache
  3. Cách bật tăng tốc bộ đệm Nginx fastcgi_cache trong WordPress - Ví dụ về cấu hình Nginx

PS: Cập nhật ngày 19/03/2020 , nếu website của bạn bị hack, bạn có thể tham khảo các phương pháp sau để giải quyết vấn đề: Trojans website và phân tích khắc phục sự cố hack máy chủ - Phương pháp bảo mật máy chủ và máy chủ VPS.

1. Sửa đổi cổng mặc định

Cổng mặc định là 22, rất dễ bị bẻ khóa. Chúng ta có thể thay đổi số cổng này sang cổng khác. Đặt hàng:

#SSH服务的启动与停止
service sshd status        # 状态
service sshd start         # 启动
service sshd stop          # 暂停
service sshd restart       # 重启

#改完端口后记得在防火墙放行,例如
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
#保存防火墙规则并重启
/etc/init.d/iptables save
service iptables restart

#修改端口号
#主配置文件:/etc/ssh/sshd_config

Port 22

5.1  Tạo khóa chung và khóa riêng

Cách dễ nhất là sử dụng lệnh trực tiếp trên máy chủ VPS Linux để tạo nhanh:

# 生成 SSH 密钥对
[root@wzfoume ~]# ssh-keygen -t rsa  
Generating public/private rsa key pair.
# 建议直接回车使用默认路径 
Enter file in which to save the key (/root/.ssh/id_rsa): 
# 输入密码短语(留空则直接回车)
Enter passphrase (empty for no passphrase): 
# 重复密码短语 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|                 |
|      E S        |
| o   . o o       |
|+.o.. + + o      |
|o+...= + =       |
|+.oo+o+ ...      |
+-----------------+
[root@wzfoume ~]#

Khóa được tạo có thể được tìm thấy trong tệp .ssh trong thư mục gốc.

Việc sửa đổi cấu hình như dưới đây:

5.3  Vô hiệu hóa đăng nhập bằng mật khẩu

Bây giờ bạn có thể chọn sử dụng key khi kết nối bằng Xshell hoặc Putty.

Khi bạn xác nhận rằng không có vấn đề gì với kết nối khóa, bạn có thể vô hiệu hóa đăng nhập bằng mật khẩu và chỉ có thông tin đăng nhập bằng khóa. Phương pháp là: sửa đổi tệp /etc/ssh/sshd_config và thay đổi PasswordAuthentication Yes thành PasswordAuthentication no cuối cùng, khởi động lại sshd.

6. Tóm tắt

Chúng ta phải chú ý đầy đủ đến vấn đề bảo mật S-S-H. Thao tác đơn giản nhất là đặt mật khẩu phức tạp hơn và sửa đổi cổng S-S-H mặc định. Thao tác này có thể ngăn chặn phần lớn hoạt động quét vũ phu.

Việc chọn tắt S-S-H cũng sẽ gây bất tiện cho chính bạn. Một cách an toàn hơn là vô hiệu hóa đăng nhập bằng mật khẩu và thay vào đó hãy sử dụng khóa đăng nhập. Đồng thời, khóa chung và khóa riêng được lưu trữ riêng biệt nên có thể dễ dàng bị nhìn xuyên qua nếu bị rò rỉ.

Để lại một câu trả lời