备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

别让你的服务器(vps)沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有

2023-01-29 417
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷,这也就解释了为什么google cloud(谷歌云)和aws(亚马逊云)默认都是以秘钥的方式登录服务器。

如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷,这也就解释了为什么google cloud(谷歌云)和aws(亚马逊云)默认都是以秘钥的方式登录服务器。

基于密钥的安全验证必须为用户自己创建一对密钥(公钥和私钥),并把公钥放在需要访问的服务器上。当需要连接到远程服务器上时,客户端软件就会向服务器发出请求,请求使用私钥进行安全验证。服务器收到请求之后,先在该用户的根目录下寻找公钥,然后把它和发送过来的密钥进行比较。如果两个密钥一致,服务器就用公有的密钥加密“质询”,并把它发送给客户端软件(moba、iTerm)。客户端收到质询之后,就可以用本地的私人密钥解密再把它发送给服务器,这种方式是相当安全的,之前做支付宝支付我们就使用过秘钥的方式来加强支付安全性,详见:在Mac系统下生成新版支付宝(2019年4月)支付接口私钥和公钥

本次我们将服务器的登录方式改造成秘钥+密码的形式,提高安全性,这里以Centos7.6为例子。

首先登录到服务器中,执行命令生成秘钥

ssh-keygen -t rsa

返回信息:

Generating public/private rsa key pair.  
  
Enter file in which to save the key (.ssh/id_rsa): //直接回车,这是秘钥的地址  
  
Enter passphrase (empty for no passphrase):  //输入密钥密码(如果不设置,请直接回车。强烈建议输入1个密码- -)  
  
Enter same passphrase again:  //重复密钥密码

之后将~/.ssh/id\_rsa.pub 复制到 ~/.ssh/authorized\_keys,并且赋予权限。

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys  
  
chmod 600 ~/.ssh/authorized_keys

随后修改/etc/ssh/sshd\_config 文件,将PubkeyAuthentication 后面的值都改成yes ,保存。

重启sshd服务,让配置生效

sudo service sshd restart

此时,我们就可以测试一下是否可以用秘钥登录了,将服务器目录中的秘钥~/.ssh/id\_rsa下载到本地

如果是windows用户,推荐使用MobaXterm,在ssh设置中,勾选使用秘钥并且选择本地秘钥即可。

如果平台是Mac os,这里推荐使用iTerm 4,同样在ssh设置中,选择运行ssh命令。

设置命令:

ssh -p 22 root@你的ip -i 你的秘钥地址

如果使用秘钥登录成功了,我们就可以考虑停用密码验证登录方式,修改/etc/ssh/sshd\_config 文件将PasswordAuthentication yes 修改成 PasswordAuthentication no。

重启ssh服务

sudo service sshd restart

这样安全性确实大大提升了,但是也不是滴水不漏,因为你本地电脑也是有可能被入侵的,也就是存储在本机电脑的私钥有几率被窃取,那么有没有方法可以杜绝这种情况呢?

答案是可以的,那就是使用双因子认证(Two-factor authentication),业内也叫两步认证,这项技术苹果和谷歌都是率先使用,尤其是苹果的icloud爆出艳照门之后,两步验证就显得至关重要。

双因子认证,除了需要验证用户名密码外,还要结合另外一种实物设备,如Rsa令牌,或者手机。

如果我们把传统的用户名密码验证称为单因子认证,那么对比双因子认证,他们的区别如下:

1FA – What you know (e.g. a password, a pin)

2FA – What you have (e.g. a phone, a hardware token)

3FA – What you are (e.g. your fingerprints, you retina)

是的,你没看错,还有三因子认证,也就是通过指纹和视网膜验证,这个在手机上很普遍,大家都不陌生。

双因子认证的产品大致可以分成两类:

1、可以产生token的硬件设备

2、智能手机的app

手机短信验证码,登录微信公众号时的扫码确认都可以称为双因子认证。双因子认证,还会结合一个只有你有的硬件设备。只要这个专属的硬件设备不丢失(察觉这个设备丢失,比用户名密码泄露,会容易很多),就可以大大地提升账号的安全性。

这里我们使用google-authenticator,开启服务器双因子认证。

首先,去google的android应用市场,或者apple的appStore去安装:“Google Authenticator(google身份验证器)”。

然后登录要开启双因子认证登录的服务器,进行为服务器安装依赖

yum -y install gcc gcc-c++ make wget pam-devel

安装Google Authenticator

wget http://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2  
tar jxvf libpam-google-authenticator-1.0-source.tar.bz2  
cd libpam-google-authenticator-1.0  
make  
sudo make install

使用SSH登录时调用google-authenticator模块

编辑文件/etc/pam.d/sshd,添加:

auth   required     pam_google_authenticator.so

再次编辑/etc/ssh/sshd\_config,在文件中查找ChallengeResponseAuthentication和UsePAM,将后面的值改为 yes:

ChallengeResponseAuthentication yes  
UsePAM yes

再次重启ssh服务

sudo service sshd restart

随后,为用户root绑定认证

su -  
google-authenticator

返回命令

Do you want authentication tokens to be time-based (y/n) y  
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@google%3Fsecret%3DCKHMVUVJNTPYSPTQ  
Your new secret key is: CKHMVUVJNTPYSPTQ  
Your verification code is 734261  
Your emergency scratch codes are:  
68748337  
15176712  
30287010  
70585905  
38041521

生成了共享秘钥:CKHMVUVJNTPYSPTQ

接着一路yes

Do you want me to update your "/root/.google_authenticator" file (y/n) y  
  
Do you want to disallow multiple uses of the same authentication  
token? This restricts you to one login about every 30s, but it increases  
your chances to notice or even prevent man-in-the-middle attacks (y/n) y  
  
By default, tokens are good for 30 seconds and in order to compensate for  
possible time-skew between the client and the server, we allow an extra  
token before and after the current time. If you experience problems with poor  
time synchronization, you can increase the window from its default  
size of 1:30min to about 4min. Do you want to do so (y/n) y  
  
If the computer that you are logging into isn't hardened against brute-force  
login attempts, you can enable rate-limiting for the authentication module.  
By default, this limits attackers to no more than 3 login attempts every 30s.  
Do you want to enable rate-limiting (y/n) y

随后再次登录服务器,会让我们输入一个验证码:

verification code:

此时打开手机上的google身份验证器App,输入对应的code即可

结语:网络千万条,安全第一条,无论多么高深的技术,离开了安全性,那么一切都将失去意义,是空谈,空谈误国,实干兴邦,网络安全,造福大家。

文章标签:
iOS开发
Android开发
Linux
Windows
MacOS
网络安全
数据安全/隐私保护
安全
存储
关键词:
ssh服务器
服务器ssh
云服务器 ECS登录
ssh验证
ssh密钥
刘悦的技术博客
目录
相关文章
薛伟同学
|
13天前
|
消息中间件 安全 Unix
SSH配置多台服务器之间的免密登陆以及登陆别名
SSH配置多台服务器之间的免密登陆以及登陆别名
薛伟同学
23 1
灰灰快醒醒
|
1月前
|
缓存 网络协议 数据可视化
WinSCP下载安装并实现远程SSH本地服务器上传文件
WinSCP下载安装并实现远程SSH本地服务器上传文件
灰灰快醒醒
51 1
日出等日落
|
6天前
|
网络协议 安全 Linux
IDEA通过内网穿透实现固定公网地址远程SSH连接本地Linux服务器
IDEA通过内网穿透实现固定公网地址远程SSH连接本地Linux服务器
日出等日落
22 2
算精通
|
1月前
|
安全 Shell 网络安全
ssh配置无密码验证
ssh配置无密码验证要在SSH中配置无密码验证,您需要使用公钥验证【2月更文挑战第18天】
算精通
39 1
灰灰快醒醒
|
1月前
|
网络协议 Ubuntu Linux
「远程开发」VSCode使用SSH远程linux服务器 - 公网远程连接
「远程开发」VSCode使用SSH远程linux服务器 - 公网远程连接
灰灰快醒醒
129 0
wljslmz
|
2月前
|
安全 网络协议 Linux
如何在 Linux 中设置 SSH 无密码登录?
【2月更文挑战第8天】
wljslmz
55 1
如何在 Linux 中设置 SSH 无密码登录?
vohelon
|
2月前
|
关系型数据库 网络安全 数据库
通过SSH登录OceanBase数据库需要修改用户密码,然后使用SSH客户端进行远程登录
通过SSH登录OceanBase数据库需要修改用户密码,然后使用SSH客户端进行远程登录
vohelon
74 6
游客xbewbwflf4oy6
|
2月前
|
网络安全 数据安全/隐私保护
如何使用ssh key免密码登录服务器?
如何使用ssh key免密码登录服务器?
游客xbewbwflf4oy6
134 2
游客4ajxjr2o23cj2
|
1月前
|
Ubuntu JavaScript 关系型数据库
在阿里云Ubuntu 20.04服务器中搭建一个 Ghost 博客
在阿里云Ubuntu 20.04服务器上部署Ghost博客的步骤包括创建新用户、安装Nginx、MySQL和Node.js 18.x。首先,通过`adduser`命令创建非root用户,然后安装Nginx和MySQL。接着,设置Node.js环境,下载Nodesource GPG密钥并安装Node.js 18.x。之后,使用`npm`安装Ghost-CLI,创建Ghost安装目录并进行安装。配置过程中需提供博客URL、数据库连接信息等。最后,测试访问前台首页和后台管理页面。确保DNS设置正确,并根据提示完成Ghost博客的配置。
游客4ajxjr2o23cj2
1197 0
在阿里云Ubuntu 20.04服务器中搭建一个 Ghost 博客
sunrr
|
1月前
|
存储 弹性计算 数据可视化
要将ECS中的文件直接传输到阿里云网盘与相册(
【2月更文挑战第31天】要将ECS中的文件直接传输到阿里云网盘与相册(
sunrr
419 4

热门文章

最新文章

  • 1
    Linux基础与服务器架构综合小实践
  • 2
    服务器中常用的几个资源监控工具整理
  • 3
    ECS独立站问题之建立独立站如何解决
  • 4
    2024年阿里云服务器不同实例规格与配置实时优惠价格整理与分享
  • 5
    ECS迁移问题之跨账号迁移ECS如何解决
  • 6
    ECS网页问题之认证实验考不了如何解决
  • 7
    使用阿里云 mqtt serverless 版本超低成本快速实现 webscoket 长链接服务器
  • 8
    阿里云服务器实例、CPU内存、带宽、操作系统选择参考
  • 9
    ecs服务器shell常用脚本练习(十)
  • 10
    ecs服务器shell常用脚本练习(九)
  • 1
    IDEA通过内网穿透实现固定公网地址远程SSH连接本地Linux服务器
    22
  • 2
    如何使用内网穿透工具实现远程SSH访问Deepin系统
    17
  • 3
    配置ssh服务
    22
  • 4
    openstack 使用ssh远程管理云主机
    20
  • 5
    SSH配置多台服务器之间的免密登陆以及登陆别名
    23
  • 6
    linux免密登录报错 Bad owner or permissions on /etc/ssh/ssh_config.d/05-redhat.conf
    24
  • 7
    配置SSH时候,Permission denied问题解决方法
    33
  • 8
    【技术分享】Telnet / SSH
    19
  • 9
    ansible 建立ssh信任并分发到各个机器
    20
  • 10
    ssh远程连接不上
    13

    • 相关课程

    更多
  • 服务器硬件基础
  • Linux Web服务器Nginx搭建与配置
  • 服务器迁移上云

    • 相关电子书

    更多
  • 固守服务器的第一道防线——美联集团堡垒机的前世今生
  • 服务器的第一道防线-美联集团堡垒的前世今生
  • 网站/服务器取证实践与挑战
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)