Linux云服务器安全防护:5招有效阻止暴力破解攻击
随着云计算技术的普及,Linux服务器成为黑客暴力破解的主要目标。本文将详细介绍五种经过验证的有效方法,帮助您加固云服务器安全防线。
一、修改默认SSH端口
90%的自动化攻击脚本都针对默认的22端口:
- 使用
vim /etc/ssh/sshd_config
编辑配置文件 - 找到
#Port 22
行,取消注释并修改为其他端口(如23456) - 保存后执行
systemctl restart sshd
重启服务 - 务必先在防火墙开放新端口,再关闭旧端口
专业建议:选择1024-65535之间的非常用端口,避免与其他服务冲突
二、配置Fail2Ban防护系统
这个智能工具能自动封禁异常登录尝试:
安装命令:sudo apt-get install fail2ban
(Debian/Ubuntu)
或sudo yum install fail2ban
(CentOS/RHEL)
配置文件路径:/etc/fail2ban/jail.local
,建议设置:
- 最大重试次数:3次
- 封禁时间:1小时
- 永久封禁反复攻击的IP
三、启用密钥认证+禁用密码登录
最安全的认证方式操作步骤:
- 本地生成密钥对:
ssh-keygen -t rsa -b 4096
- 上传公钥到服务器:
ssh-copy-id -p 端口号 用户名@服务器IP
- 在
sshd_config
中设置:PasswordAuthentication no PubkeyAuthentication yes
四、配置防火墙精细控制
推荐使用UFW或firewalld:
操作 | UFW命令 | firewalld命令 |
---|---|---|
允许特定IP | sudo ufw allow from 192.168.1.100 |
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept' |
限制连接速率 | 需要结合iptables规则 |
五、定期安全审计与更新
必须建立的运维习惯:
- 每周检查
/var/log/auth.log
或/var/log/secure
- 设置日志监控告警(如使用Logwatch)
- 保持系统更新:
sudo apt update && sudo apt upgrade -y
- 每季度进行漏洞扫描
⚠️ 注意:实施任何修改前,请确保有另一条活跃的SSH连接,避免被锁在服务器外
进阶安全建议
对于高安全要求的场景,还可考虑:
- 配置Google Authenticator双因素认证
- 设置基于时间的访问限制(仅工作日工作时间允许登录)
- 使用VPN隧道访问服务器
通过组合应用以上措施,可有效将暴力破解成功率降至0.01%以下。安全防护是一个持续的过程,需要根据攻击手段的演变不断调整策略。