服务器防御SSH暴力破解的常用方法

胡萝虎 

 

不得不说,把服务器暴露在公网上还是非常危险的。这不,刚撸到的某云服务器,部署博客没几天,就遭到黑客持续的暴力攻击——持续的暴力破解SSH账号密码!

 

案发现场

今天闲来摸鱼,打开终端,通过ssh登录到我的云服务器,顺手看了一眼SSH登录日志。不看不要紧,一看吓一跳,请看下图:

tail -500 /var/log/secure

image-20211020213040556

每隔几秒就出现一次SSH登录记录,也就是黑客正在利用字典暴力破解我的服务器SSH账号密码。

image-20211020213308550

好家伙,是从德国发起的攻击。那么遇到这种情况,该如何避免SSH账号密码被黑客暴力破解呢?

 

 

解决方案

1、修改SSH端口

千万不要使用默认的22端口,否则面临的暴力攻击会更多。所以,拿到服务器后,首先就应该将SSH端口改成其他的,建议改成一个比较大的端口号。具体操作如下:

sudo vim /etc/ssh/sshd_config

找到 Port 22项,将端口号改为其他值,比如1046

image-20211020214030616

 

然后重启SSH服务

sudo service ssh restart

 

2、将攻击者的IP加入到黑名单

sudo vim /etc/hosts.deny

编辑此文件,然后在文件中加入攻击者的IP配置,即可拦截攻击者的IP,使其无法正常访问我们的服务器。

sshd:ip:deny

image-20211020214222182

下面就是将IP加入黑名单后的效果,可以看到凡是来自黑名单IP的请求都被服务器直接拒绝。

image-20211020214345481

 

3、关闭SSH密码登录

SSH最安全的使用方式,就是不要用账号密码的方式登录,而是使用密钥登录。所以,我们也可以关闭SSH密码登录功能和root登录账号,并设置密钥登录。

  • 创建一个新的账号
adduser myuser

passwd myuser

首先使用root账号登录服务器,然后再执行上面的命令,设置用户名和密码。

 

  • 将你的RSA公钥添加到服务器的authorized_keys文件中
sudo vim ~/.ssh/authorized_keys

将本地电脑上生成的RSA公钥内容追加到文件中。(非常重要,不添加或添加错了你就登不上服务器了!!!

 

  • 编辑SSH配置文件,禁用密码登录和Root账号登录
sudo vim /etc/ssh/sshd_config

修改以下配置项:

PermitRootLogin no        					# 禁止root账号登录

PasswordAuthentication no 					# 禁止基于密码认证的登录

ChallengeResponseAuthentication no	# 关闭质疑-应答模式

重启SSH服务

sudo service ssh restart

 

完成以上操作后,基本上可以保证服务器不会被暴力攻破了。

 

Recommended Posts

Jellyfin中使用QSV替代VAAPI转码

使用过Jellyfin的应该都会遇到转码的问题,默认情况下都是使用VAAPI进行转码,这种方式兼容性比较好,但是转码的性能比较一般。如果使用的是Intel平台J4125及更早的CPU的话,建议切换为QSV(Intel Quick Sync )进行转码,效率会比VAAPI快很多,并且CPU也会更低。

胡萝虎 

在群晖上使用Docker部署为知笔记服务

虽然市面上有很多各种类型的云笔记应用,像有道云笔记、印象、OneNote,包括Notion,博主都曾尝试使用过。但是随着资料越来越多,特别是一些涉及个人隐私的资料放在云端笔记上,比如密码、账号之类的,让博主越来越感到焦虑😂。博主此前也曾在群晖部署过蚂蚁笔记,但是使用感受实在不咋滴;一段时间以来,只能勉强用群晖自带的弱智Note Station来记录个人资料,真怕哪天自己也搞弱智了。

最近实在受不了Note Station的反人类操作了,不得不再次开启寻找解决方案的征途,幸运的是,Eureka…… 为知笔记的私有化方案终于让我解放啦

胡萝虎 

在群晖中搭建Cloudreve网盘系统

众所周知,某度网盘为了挣钱,各种极限限速,下载限速能把人恶心死。但是,网盘类服务越来越成为人们的刚需,不管是个人生活中的照片,还是工作学习中各类资料,相信很多人都需要使用到网盘进行存储和分享。如果你不想忍受某度的速度,建议有条件的朋友可以试试自己搭建一套网盘系统,本文以Cloudreve为例,在群晖NAS上搭建一套属于自己的私人网盘服务,供读者们参考

胡萝虎 

在群晖上搭建Bitwarden密码管理服务器

管理密码是很多人头痛的事,密码设置简单好记又不太安全,设置复杂又容易忘。为了解决这个难题,市面上出现了不少密码管理工具,帮助人们管理在各种平台、系统、网站、APP上设置的密码,比如1Password、Lastpass、KeePass等,不过绝大多数需要付费才能使用。本着能白嫖就绝不花一个子儿的原则,今天我就来介绍一个不需要花钱的密码管理器——Bitwarden

胡萝虎 

使用Docker一键安装服务端神器Appwrite

Appwrite是一个基于Docker的开源的端到端开发者平台,其容器化的微服务库可应用于网页端,移动端,以及后端。Appwrite 通过视觉化界面极简了从零编写 API 的繁琐过程,在保证软件安全的前提下为开发者创造了一个高效的开发环境。

简单来说,如果你只会前端开发,不懂后端技术,那么这个神器就可以帮你轻松完成后端服务搭建,包括账户、用户、团队、数据库、存储、云函数等等,目前支持各类前端平台,包括Flutter、Vue、Angular、React、iOS和Android等

胡萝虎 

Leave A Comment