增强VPS安全性的常用方法

前言

这几天用putty登陆自己的VPS出现了以下状况:

Last failed login: Tue Jun  2 21:23:07 CST 2020 from 69.ip-51-68-189.eu on ssh:notty
There were 2019 failed login attempts since the last successful login.

这里的ip并不是我的IP地址,也就是说有人(或机器人)在恶意试探我的VPS密码。看到这提示,我马上上谷歌搜索,发现这个现象非常普遍,多数都是被机器人扫描然后试图暴力破解,如果不加以防范,代价会很大。

我在查问题的时候发现,PuTTY官方并没有提供中文版本,所以网上的汉化版有可能被植入后门,非常不安全,所以在此提醒,这一类涉及重要密码的软件绝对不要用民间汉化版!

那么如何知道自己的VPS账号正在遭受扫描和暴力破解呢?简单的方法就是查看日志:

# 查看登录成功的用户信息
last
# 最新的登录记录在最前面,所以可以用以下命令来查看。
last | less
# 查看登录失败的用户信息
lastb
# 查看登录日志
tail /var/log/secure

也可以执行以下命令,查询出来的结果中包含了ip地址=数量就是攻击者信息。

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'

如何来增强VPS账号的安全性呢?除了养成使用正规软件的好习惯外,还要从VPS本身来加强VPS账号的安全性。

  • Linux有一个自动统计VPS登录错误的工具:Denyhosts,一旦登录VPS账号错误次数超过了Denyhosts的安全设置,Denyhosts就会将该IP记录下来,同时将其放入黑名单当中,禁止该IP在某一段时间内继续访问VPS,通过它可以实现自动封锁恶意IP
  • 默认的SSH端口是22,通过修改自己的SSH端口先为扫描者增加一道端口门槛
  • VPS默认的账号是root,如果我们禁用了root,那么要攻破账号又得先暴力猜测VPS的账号,难度又增加几分
  • 如果还不放心,我们可以直接禁用密码登录验证VPS的方式,改用密钥登录,这样安全系数是相当高了

注:本人主机为CentOS 7 x64系统,以下内容均基于此环境

Denyhosts攻击

Linux各平台现在基本上都可以直接安装Denyhosts了,直接运行命令安装

yum install denyhosts
  1. 安装好了Denyhosts,默认的配置基本上就可以防御一定的暴力攻击了,/etc/hosts.deny文件里保存了被屏蔽的记录。
  2. 如果你要自定义Denyhosts的相关配置,执行:vi /etc/denyhosts.conf,相关参数的说明可以自行搜索,一般用户默认即可。

修改SSH端口

输入命令

vi /etc/ssh/sshd_config

编辑SSH服务的配置文件,找到#port 22,将前面的#去掉,然后将22修改为你自己设定的端口号,如12345,保存后重启SSH服务以使配置生效

systemctl restart sshd.service

禁用Root账户

禁用root账户之前,必须先新建一个新的账户。

useradd user #添加用户名
passwd user #为user用户设置密码

然后编辑配置文件

vi /etc/ssh/sshd_config

找到里面的PermitRootLogin yes,将后面的yes改成no,如果没有这一行则直接加入即可。保存后重启SSH服务以使配置生效.

systemctl restart sshd.service

使用密钥登录

生成密钥

SSH登录方式有账号+密码和密钥认证两种形式,为了阻止暴力破解VPS的账号和密码,我们可以放弃密码验证的方式,改用密钥文件验证。

普通用户(如user)执行以下命令,在VPS上生成密钥文件

ssh-keygen -t rsa

生成密钥时会询问你密钥保存的位置,默认是/username/.ssh,保持默认即可,你还可以为你的密钥设置一个密码,默认为空。

密钥生成后,进入密钥存放的目录中,执行以下命令,将公钥生成一个新的文件。

cat id_rsa.pub >> authorized_keys

将id-rsa这个私钥文件用winSCP下载到本地,打开PuTTYGen软件,执行Conversions->Import Key,导入这个私钥文件,然后选择Save private key,这时会在本地生成一个PPK文件,在PuTTY的Connection/SSH/Auth中选择刚刚保存的PPK文件,以后即可用密钥认证登录VPS了。

CentOS 7权限问题

CentOS 7系统下,用户user的home目录:/home/user的权限变成了777,造成不能正常登陆SSH,报如下错误:Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password)

SSH对公钥、私钥的权限和所有权的要求是非常严格的,总结如下:
1、下面两个目录的所有权必须是user,所属组也应该是user,权限必须为700

/home/user
/home/user/.ssh

2、下面公钥文件的所有权必须是user,所属组也应该是user,权限必须为644

/home/user/.ssh/authorized_keys

3、下面私钥文件的所有权必须是user,所属组也应该是user,权限必须是600

/home/user/.ssh/id_rsa

接着上面的操作,这次需要获取root权限,首先输入命令su再输入root密码获取root权限,然后依次执行以下命令

mkdir /etc/ssh/user
cp /home/user/.ssh/authorized_keys /etc/ssh/user/
chmod 755 /etc/ssh/user
chmod 600 /etc/ssh/user/authorized_keys
chown -R user:user /etc/ssh/user

编辑SSH配置文件

  
vi /etc/ssh/sshd_config

找到AuthorizedKeysFile这项(如果没有则添加),修改为

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

保存后重启SSH服务以使配置生效

systemctl restart sshd.service

禁止密码登录

注意:请确认你已经可以通过密钥认证的方式登录VPS

有了密钥登录VPS,我们就可以禁止用密码登录这种验证方式了,还是编辑SSH配置文件

vi /etc/ssh/sshd_config

找到PasswordAuthentication(没有则添加)并修改后面的yesno,保存后重启SSH服务以使配置生效

systemctl restart sshd.service

小结

通过以上这些措施可以有效防范暴力破解VPS,平时使用官方软件也是提升安全性的一大举措,总而言之,没有绝对的安全,但是只要我们平时稍加留心就不会给破解者可乘之机。

参考链接:
https://www.freehao123.com/vps-ssh/
http://www.cnblogs.com/jxterminator/p/4105545.html

© 版权声明
THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发