修改SSH端口并禁用密码登陆

买了台 vps，结果发现 1 天内被爆破了 1000+ 次密码，于是找了下资料

查看SSH日志

查看历史登陆情况

last

查看使用密码登陆 root 用户失败的记录（暴力破解 root 密码）

sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看使用错误用户名登陆失败的记录（暴力破解用户名）

sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more

一般来说修改 ssh 端口，使用公私钥禁用密码登陆就能起到不错的防护效果

生成RSA公私钥

使用服务器生成位数为4096的rsa公私钥

ssh-keygen -t rsa -b 4096 # 生成位数为4096的rsa公私钥

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):    # 使用默认的存放路径(一般默认即可)
Enter passphrase (empty for no passphrase):                 # 秘钥的密码(默认空即可，根据需要使用)
Enter same passphrase again:                                # 密码     (默认空即可，根据需要使用)
Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:zUAZt7Ydw2s0LQqupcMjvB1KtniGX344tnxl2CE3zUg root@ArchLinux
The key's randomart image is:
+---[RSA 4096]----+
|        oo.      |
|       ...Eo .   |
|        o.o+B .  |
|       ..*==o*   |
|        S==o+    |
|   . . +. +.     |
|   .= O. o       |
|  .+oX++o        |
|  .+=.==         |
+----[SHA256]-----+

此时 /root/.ssh/ 目录下会生成 id_rsa id_rsa.pub 两个文件

将公钥导入VPS

将公钥文件追加到验证文件中

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

完成后保留私钥 id_rsa 到本地作为连接使用，服务器上删除私钥 id_rsa 保证安全

SSH相关配置

编辑 sshd 配置文件

vim /etc/ssh/sshd_config

Port 22                   # SSH 端口 随机填一个10000-65535的端口
PermitRootLogin yes       # 允许 root 用户登陆

RSAAuthentication yes     # RSA 认证
PubkeyAuthentication yes  # 开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys # 验证文件路径

PasswordAuthentication no # 禁止密码认证
PermitEmptyPasswords no   # 禁止空密码

重启 sshd

service sshd restart

!> 注意有的服务器会导入自己的配置项，导致重启后依旧无法配置
例如配置文件中有 Include /etc/ssh/sshd_config.d/*.conf 可以自行对其注释，或修改配置

我的 vps 中就引入了 PasswordAuthentication yes 应该是保证控制台的 shell 可以连上，修改为 PasswordAuthentication no 即可

标签：禁用,端口,rsa,密码,SSH,root,id,ssh
From： https://www.cnblogs.com/HUOE/p/18336362

【远程驰骋：Python SSH 自动化运维实战笔记】
使用GqylpySSH库简化SSH命令执行在自动化运维或脚本编写中，经常需要通过SSH连接到远程服务器执行命令。虽然Python的paramiko库提供了强大的SSH功能，但直接使用它进行命令执行和结果处理可能会显得有些繁琐。GqylpySSH库封装了paramiko，提供了一个更加简洁易用的接口......
如何将优先级任务添加到celery队列而不禁用获取
我有一个celery工作线程，并发度设置为1，它从RabbitMQ获取任务。我想创建一个在单个并发设置中只有一个队列的系统，因此，所有任务都将添加到主队列中。关于任务-它只是一个循环，我们用更新状态。|||并行地我有两个服务。task.update_state()Celery-beat......
Java sshtools 生成的 EDDSA 签名与 Python 的 pycryptome 生成的签名不匹配
我有一个python库，它使用pycryptodomelibrary使用openssh格式的ED25519私钥使用Ed25519算法对数据进行签名。然后需要使用sshtools库和相应的公钥在Java应用程序中验证签名。但是签名验证失败。约束：从文件中读取私钥/公钥很重要。我无法......
Windows系统常用端口详解
135端口135主要用于Microsoft的远程过程调用（RPC）服务。RPCSS（RemoteProcedureCallSubsystem)服务是COM和DCOM服务器的服务控制管理器。它执行COM和DCOM服务器的对象激活请求、对象导出程序解析和分布式垃圾回收。如果此服务被停用或禁用，则使用COM或DCOM的程序将无......
kubernetes更改nodePort模式下的默认端口范围
使用nodePort模式，官方默认范围为30000-32767，详见Service官方文档。NodePort类型如果将type字段设置为NodePort，则Kubernetes控制平面将在–service-node-port-range标志指定的范围内分配端口（默认值：30000-32767）。每个节点将那个端口（每个节点上的相同端口号）代理到您的服务......
IT运维必备神器！PsShutdown，定时关机重启一键搞定！
嘿，各位技术小能手们，小江湖今天要给大家安利一个宝贝——PsShutdown！这可不是一般的关机小工具哦；当你坐在电脑前，手指轻轻敲几下键盘，就能实现定时任务，无论是关机、重启，还是注销用户，甚至是锁屏，都尽在掌握之中；是不是已经心痒痒，迫不及待想要一探究竟了？别急，咱们先不聊那些冷冰冰的功能......
SSH Exporter：基于Prometheus的远程系统性能监控神器
SSHExporterEnglish|中文介绍SSHExporter是一个基于Prometheus规范的监控工具，通过SSH协议远程收集目标服务器的系统性能数据，如CPU使用率、内存使用情况、磁盘和网络I/O等，并将这些数据暴露为Prometheus格式的metrics，以便被PrometheusServer抓取和存储。功能......
浅谈取样器之SSH Command
浅谈取样器之SSHCommandJMeter的SSHCommand取样器是一个强大的功能，允许用户在JMeter测试计划中执行远程SSH命令。这对于需要与Linux/Unix服务器交互以执行系统命令、脚本或者进行性能测试验证的场景尤为有用。通过这个取样器，您可以集成服务器端操作到您的负载测试中，进一......
【运维指南】常见的防火墙端口操作
每当一个应用程序想通过网络访问自己时，它就会申请一个TCP/IP端口，这意味着该端口不能被其他任何程序使用。那么，如何检查开放的端口，看看哪个应用程序已经在使用它呢？Windows查看端口使用情况和进程名称netstat-ab按Enter键后，结果可能需要一两分钟才能完全显示出来，请......
Nmap 7.95 - Zenmap 汉化版，端口扫描、网络嗅探工具
Nmap7.95-Zenmap汉化版本来想找一个端口扫描工具，先找到了AngryIPScanner 用了一下，有时候扫不到，功能也比较单一。最后找到了Nmap，这个功能要强大很多。网上没有最新的汉化版本，老版本的汉化还存在BUG，于是自己动手汉化了一下。功能介绍： Nmap是一款功能强大的网络......

修改SSH端口并禁用密码登陆

修改SSH端口并禁用密码登陆

查看SSH日志

生成RSA公私钥

将公钥导入VPS

SSH相关配置

相关文章

赞助商

阅读排行