增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

火幣

vps SSH賬號是我們日常管理VPS的主要登入方式,尤其是Root賬號,對linux系統安全至關重要。以前好多站長喜歡用Putty中文版,這實際是別人修改官方Putty漢化而來,這些軟體被植入了後門,導致好幾個有名的站點信息泄露,損失慘重。

如何知道自己的VPS賬號正在遭受壞人的掃描和暴力破解呢?

簡單的方法就是查看日誌:cat /var/log/auth.log。如何來增強VPS SSH賬號的安全性呢?除了養成使用正規軟體的好習慣外,還要從VPS本身來加強VPS SSH賬號的安全性。

默認的SSH埠都是22,通過修改自己的VPS的埠先為掃描者增加一道埠門檻,VPS默認的賬號是Root,如果我們禁用了Root,那麼要攻破賬號又得先暴力猜測VPS的賬號,難度又增加幾分。如果還不放心,我們可以直接禁用密碼登錄驗證VPS的方式,改用密鑰登錄,這樣安全係數是相當高了。

Linux還有一個自動統計VPS登錄錯誤工具:Denyhosts,一旦登錄VPS賬號錯誤次數超過了Denyhosts安全設置,Denyhosts就會將該IP記錄下來,同時將其放入黑名單當中,禁止該IP在某一段時間內繼續訪問VPS,通過Denyhosts可以實現自動封鎖惡意IP。

VPS主機和網站安全優化是一個持久的問題,沒有一勞永逸的「安全設置」,道高一尺,魔高一丈,我們只有不斷地發現問題,才能最大限度地保護自己網站和vps安全

增強VPS SSH賬號安全:改埠,禁止Root,密鑰登錄,Denyhosts防暴力攻擊

一、增強VPS SSH賬號安全方法一:修改SSH登錄埠

1、用下面命令進入配置文件。


 vi /etc/ssh/sshd_config

2、找到#port 22,將前面的#去掉,然後修改埠 port 123(自己設定)。

3、然後重啟ssh服務。


/etc/init.d/ssh restart


二、增強VPS SSH賬號安全方法二:使用密鑰登錄SSH

1、SSH登錄方式有賬號+密碼和密鑰兩種形式,為了阻止暴力破解VPS的賬號和密碼,我們可以放棄密碼驗證的方式,改用密鑰文件驗證。

2、執行以下命令在VPS上生成密鑰文件。


ssh-keygen -t rsa

3、生成密鑰時會詢問你密鑰保存的位置,默認即可,還有你可以為你的密鑰還設置一個密碼,默認為空。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

4、密鑰生成後,進入密鑰存放的目錄中,執行以下命令,將公鑰生成一個新的文件。


cat id_rsa.pub >> authorized_keys

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

5、將id-rsa這個私鑰文件下載到本地,打開PuTTYGen軟體,執行Conversions->Import Key,導入這個私鑰文件。
增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

6、Putty使用密鑰登錄SSH方法:如果你要使用Putty,在PuTTYGen中選擇Save private key,這時會在本地生成一個PPK文件。

7、然後在Putty中填入伺服器名,在SSH授權方式中選擇密鑰,導入剛剛保存的PPK文件。

8、使用xshell通過密鑰登錄VPS方法:如果要使用Xshell,請在PuTTYGen的Conversions中選擇Export Open#SSH Key,設置一個名稱保存。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

9、然後啟用Xshell,填入伺服器IP,在用戶身份驗證中選擇「Public Key」,然後瀏覽導入剛剛你保存的Key文件。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

10、導入了Key後,你就可以直接打開登錄VPS了,不需要輸入密碼,即可進入VPS。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

11、有了密鑰登錄VPS,我們就可以禁止用密碼登錄這種驗證方式了,還是編輯配置:vim /etc/ssh/sshd_config,添加一行:PasswordAuthentication no,如果有了這一行,請把yes改成no,保存,重啟SSH服務,生效。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

三、增強VPS SSH賬號安全方法三:禁用Root賬號

1、如果你已經設置SSH密鑰登錄的方式,就可以禁用Root賬號了,或者你可以新建一個VPS賬號。執行以下命令:


useradd freehao123 #添加用戶名
passwd freehao123 #為freehao123用戶名設置密碼

 

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

2、然後編輯進入配置:vim /etc/ssh/sshd_config,找到PermitRootLogin yes,然後後面的Yes改no,如果沒有這一行命令,直接將:PermitRootLogin no 加進去。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

3、保存後,重啟SSH服務,生效。

四、增強VPS SSH賬號安全方法四:Denyhosts防暴力攻擊

1、Linux各平台現在基本上都可以直接安裝Denyhosts了,執行以下命令:


debian/ubuntu:
sudo apt-get install denyhosts
 
RedHat/centos
yum install denyhosts
 
Archlinux
yaourt denyhosts
 
Gentoo
emerge -av denyhosts

2、安裝好了Denyhosts,默認的配置基本上就可以防禦一定的暴力攻擊了,/etc/hosts.deny 文件里保存了被屏蔽的記錄。

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

3、如果你要自定義Denyhosts的相關配置,執行:vim /etc/denyhosts.conf,以下是相關參數的說明:



SECURE_LOG = /var/log/auth.log #ssh 日誌文件,它是根據這個文件來判斷的。
HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件
PURGE_DENY = #過多久後清除已經禁止的,空表示永遠不解禁
BLOCK_SERVICE = sshd #禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可
DENY_THRESHOLD_INVALID = 5 #允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數
DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #運行目錄
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否進行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的進程ID
ADMIN_EMAIL = root@localhost #管理員郵件地址,它會給管理員發郵件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts 
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用戶的登錄失敗計數會在多久以後重置為0,(h表示小時,d表示天,m表示月,w表示周,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一個ip登陸成功後,失敗的登陸計數是否重置為0

 

五、增強VPS SSH賬號小結

1、上面講到了四個方法來增強VPS SSH賬號的安全性,那麼如何得知自己的VPS曾經或正在遭受賬號暴力破解登錄呢?執行以下命令,查詢出來的結果中包含了「ip地址=數量」就是攻擊者信息。


cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'

 

增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

2、目前在Putty官網上沒有看到中文版本的Putty,所以網上流行的一些漢化版本的Putty很有可能被植入了後門,大家在使用時一定要特別留心。Xshell官網直接提供了多國語言,包括中文在內。

贊(12) 打賞
需要國外VPS建站朋友,請聯繫站長! 轉載請註明文章來源:VPSMVP部落 - 便宜VPS|VPS優惠|VPS測評|美國VPS|VPS教程 » 增強VPS SSH賬號安全:改埠,禁用Root,密鑰登錄,Denyhosts防暴力攻擊
分享到: 更多 (0)
VULTR

評論 搶沙發

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

微信掃一掃打賞




友情鏈接:
 |  趙容部落  |  老左筆記  |  微魔部落  |  便宜VPS  |  vps小學生  |  主機百科  |  老蔣部落  |  老劉博客  |  全球主機  |  全球主機交流  |  數字居民  |  LET論壇  |  veidc測評  |  挖站否  |  VPS收割者  |  主機貼士  |  惠主機  |  荒島  |  VPS GO  |  國外VPS  |  主機之家測評

友情鏈接申請