Gần đây, khi một người bạn đang sử dụng máy chủ Yunfu của mình, anh ấy phát hiện ra rằng SSH đã bị người khác quét một cách thô bạo. Mặc dù tài khoản và mật khẩu SSH chưa bao giờ bị đoán ra nhưng nếu ai đó cứ nhìn chằm chằm vào anh ấy thì sớm muộn gì cũng sẽ xảy ra chuyện. Tôi đã giúp anh ấy thiết lập danh sách trắng đăng nhập S-S-H, danh sách này chỉ cho phép truy cập đăng nhập từ IP của chính anh ấy và từ chối tất cả các IP khác.
Trên thực tế, cách dễ nhất để đảm bảo S-S-H không bị bẻ khóa là sửa đổi cổng 22 mặc định. Ví dụ: VPS cổ điển mà chúng tôi sử dụng có cổng 22 được sửa đổi theo mặc định khi VPS được tạo. Phương pháp triệt để nhất là cấm sử dụng tài khoản và mật khẩu để đăng nhập, thay vào đó sử dụng khóa để đăng nhập. Chỉ cần khóa được giữ an toàn thì không ai có thể vào máy chủ.
Bài viết này sẽ chia sẻ một số phương pháp cơ bản để bảo vệ an ninh máy chủ và máy chủ Linux, chẳng hạn như sửa đổi cổng SSH; thêm danh sách trắng vào đăng nhập SSH, chỉ cho phép truy cập IP của riêng bạn, bạn cũng có thể thiết lập khóa đăng nhập và cấm đăng nhập bằng mật khẩu; bằng cách này, kẻ bẻ khóa sẽ "không có đường vào".
Tất nhiên, những người bạn có kinh nghiệm cũng có thể trực tiếp tắt đăng nhập S-S-H. Nếu một bảng như bảng điều khiển WDCP của chùa BT đã được cài đặt, bạn có thể trực tiếp chọn tắt S-S-H trong nền của bảng đó hoặc tắt chúng theo cách thủ công. Một số thương gia như Alibaba Cloud, Tencent Cloud, v.v. cũng có các nhóm bảo mật riêng. Bạn cũng có thể chọn chặn tạm thời các cổng như 22 trong nhóm bảo mật, sau đó mở các cổng theo cách thủ công khi bạn cần sử dụng chúng. là một chút rắc rối, nó là phương pháp tương đối dễ dàng và thuận tiện.
Để biết thêm hướng dẫn về bảo mật máy chủ và xây dựng trang web, đây là:
- Cải thiện tìm kiếm trang web - Tìm kiếm tùy chỉnh của Baidu, Google và tìm kiếm tự xây dựng của Elaticsearch
- Mười mẹo tăng tốc CDN miễn phí của CloudFlare mà bạn có thể không biết-SSLDDOSCache
- Cách bật tăng tốc bộ đệm Nginx fastcgi_cache trong WordPress - Ví dụ về cấu hình Nginx
PS: Cập nhật ngày 19/03/2020 , nếu website của bạn bị hack, bạn có thể tham khảo các phương pháp sau để giải quyết vấn đề: Trojans website và phân tích khắc phục sự cố hack máy chủ - Phương pháp bảo mật máy chủ và máy chủ VPS.
1. Sửa đổi cổng mặc định
Cổng mặc định là 22, rất dễ bị bẻ khóa. Chúng ta có thể thay đổi số cổng này sang cổng khác. Đặt hàng:
#SSH服务的启动与停止 service sshd status # 状态 service sshd start # 启动 service sshd stop # 暂停 service sshd restart # 重启 #改完端口后记得在防火墙放行,例如 iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT #保存防火墙规则并重启 /etc/init.d/iptables save service iptables restart #修改端口号 #主配置文件:/etc/ssh/sshd_config Port 22
5.1 Tạo khóa chung và khóa riêng
Cách dễ nhất là sử dụng lệnh trực tiếp trên máy chủ VPS Linux để tạo nhanh:
# 生成 SSH 密钥对 [root@wzfoume ~]# ssh-keygen -t rsa Generating public/private rsa key pair. # 建议直接回车使用默认路径 Enter file in which to save the key (/root/.ssh/id_rsa): # 输入密码短语(留空则直接回车) Enter passphrase (empty for no passphrase): # 重复密码短语 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume The key's randomart image is: +--[ RSA 2048]----+ | | | | | | | | | E S | | o . o o | |+.o.. + + o | |o+...= + = | |+.oo+o+ ... | +-----------------+ [root@wzfoume ~]#
Khóa được tạo có thể được tìm thấy trong tệp .ssh trong thư mục gốc.
Việc sửa đổi cấu hình như dưới đây:
5.3 Vô hiệu hóa đăng nhập bằng mật khẩu
Bây giờ bạn có thể chọn sử dụng key khi kết nối bằng Xshell hoặc Putty.
Khi bạn xác nhận rằng không có vấn đề gì với kết nối khóa, bạn có thể vô hiệu hóa đăng nhập bằng mật khẩu và chỉ có thông tin đăng nhập bằng khóa. Phương pháp là: sửa đổi tệp /etc/ssh/sshd_config
và thay đổi PasswordAuthentication Yes
thành PasswordAuthentication no
cuối cùng, khởi động lại sshd.
6. Tóm tắt
Chúng ta phải chú ý đầy đủ đến vấn đề bảo mật S-S-H. Thao tác đơn giản nhất là đặt mật khẩu phức tạp hơn và sửa đổi cổng S-S-H mặc định. Thao tác này có thể ngăn chặn phần lớn hoạt động quét vũ phu.
Việc chọn tắt S-S-H cũng sẽ gây bất tiện cho chính bạn. Một cách an toàn hơn là vô hiệu hóa đăng nhập bằng mật khẩu và thay vào đó hãy sử dụng khóa đăng nhập. Đồng thời, khóa chung và khóa riêng được lưu trữ riêng biệt nên có thể dễ dàng bị nhìn xuyên qua nếu bị rò rỉ.