增强VPS安全性的常用方法

前言

这几天用putty登陆自己的VPS出现了以下状况:

Last failed login: Tue Jun  2 21:23:07 CST 2020 from 69.ip-51-68-189.eu on ssh:notty
There were 2019 failed login attempts since the last successful login.

这里的ip并不是我的IP地址，也就是说有人(或机器人)在恶意试探我的VPS密码。看到这提示，我马上上谷歌搜索，发现这个现象非常普遍，多数都是被机器人扫描然后试图暴力破解，如果不加以防范，代价会很大。

我在查问题的时候发现，PuTTY官方并没有提供中文版本，所以网上的汉化版有可能被植入后门，非常不安全，所以在此提醒，这一类涉及重要密码的软件绝对不要用民间汉化版！

那么如何知道自己的VPS账号正在遭受扫描和暴力破解呢？简单的方法就是查看日志：

# 查看登录成功的用户信息
last
# 最新的登录记录在最前面，所以可以用以下命令来查看。
last | less
# 查看登录失败的用户信息
lastb
# 查看登录日志
tail /var/log/secure

也可以执行以下命令，查询出来的结果中包含了ip地址=数量就是攻击者信息。

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'

如何来增强VPS账号的安全性呢？除了养成使用正规软件的好习惯外，还要从VPS本身来加强VPS账号的安全性。

• Linux有一个自动统计VPS登录错误的工具：Denyhosts，一旦登录VPS账号错误次数超过了Denyhosts的安全设置，Denyhosts就会将该IP记录下来，同时将其放入黑名单当中，禁止该IP在某一段时间内继续访问VPS，通过它可以实现自动封锁恶意IP
• 默认的SSH端口是22，通过修改自己的SSH端口先为扫描者增加一道端口门槛
• VPS默认的账号是root，如果我们禁用了root，那么要攻破账号又得先暴力猜测VPS的账号，难度又增加几分
• 如果还不放心，我们可以直接禁用密码登录验证VPS的方式，改用密钥登录，这样安全系数是相当高了

注：本人主机为CentOS 7 x64系统，以下内容均基于此环境

Denyhosts攻击

Linux各平台现在基本上都可以直接安装Denyhosts了，直接运行命令安装

yum install denyhosts

1. 安装好了Denyhosts，默认的配置基本上就可以防御一定的暴力攻击了，/etc/hosts.deny文件里保存了被屏蔽的记录。
2. 如果你要自定义Denyhosts的相关配置，执行：vi /etc/denyhosts.conf，相关参数的说明可以自行搜索，一般用户默认即可。

修改SSH端口

输入命令

vi /etc/ssh/sshd_config

编辑SSH服务的配置文件，找到#port 22，将前面的#去掉，然后将22修改为你自己设定的端口号，如12345，保存后重启SSH服务以使配置生效

systemctl restart sshd.service

禁用Root账户

禁用root账户之前，必须先新建一个新的账户。

useradd user #添加用户名
passwd user #为user用户设置密码

然后编辑配置文件

vi /etc/ssh/sshd_config

找到里面的PermitRootLogin yes，将后面的yes改成no，如果没有这一行则直接加入即可。保存后重启SSH服务以使配置生效.

systemctl restart sshd.service

使用密钥登录

生成密钥

SSH登录方式有账号+密码和密钥认证两种形式，为了阻止暴力破解VPS的账号和密码，我们可以放弃密码验证的方式，改用密钥文件验证。

以普通用户(如user)执行以下命令，在VPS上生成密钥文件

ssh-keygen -t rsa

生成密钥时会询问你密钥保存的位置，默认是/username/.ssh，保持默认即可，你还可以为你的密钥设置一个密码，默认为空。

密钥生成后，进入密钥存放的目录中，执行以下命令，将公钥生成一个新的文件。

cat id_rsa.pub >> authorized_keys

将id-rsa这个私钥文件用winSCP下载到本地，打开PuTTYGen软件，执行Conversions->Import Key，导入这个私钥文件，然后选择Save private key，这时会在本地生成一个PPK文件，在PuTTY的Connection/SSH/Auth中选择刚刚保存的PPK文件，以后即可用密钥认证登录VPS了。

CentOS 7权限问题

CentOS 7系统下，用户user的home目录：/home/user的权限变成了777，造成不能正常登陆SSH，报如下错误：Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password)

SSH对公钥、私钥的权限和所有权的要求是非常严格的，总结如下：
1、下面两个目录的所有权必须是user，所属组也应该是user，权限必须为700

/home/user
/home/user/.ssh

2、下面公钥文件的所有权必须是user，所属组也应该是user，权限必须为644

/home/user/.ssh/authorized_keys

3、下面私钥文件的所有权必须是user，所属组也应该是user，权限必须是600

/home/user/.ssh/id_rsa

接着上面的操作，这次需要获取root权限，首先输入命令su再输入root密码获取root权限，然后依次执行以下命令

mkdir /etc/ssh/user
cp /home/user/.ssh/authorized_keys /etc/ssh/user/
chmod 755 /etc/ssh/user
chmod 600 /etc/ssh/user/authorized_keys
chown -R user:user /etc/ssh/user

编辑SSH配置文件

  
vi /etc/ssh/sshd_config

找到AuthorizedKeysFile这项(如果没有则添加)，修改为

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

保存后重启SSH服务以使配置生效

systemctl restart sshd.service

禁止密码登录

注意：请确认你已经可以通过密钥认证的方式登录VPS

有了密钥登录VPS，我们就可以禁止用密码登录这种验证方式了，还是编辑SSH配置文件

vi /etc/ssh/sshd_config

找到PasswordAuthentication(没有则添加)并修改后面的yes为no，保存后重启SSH服务以使配置生效

systemctl restart sshd.service

小结

通过以上这些措施可以有效防范暴力破解VPS，平时使用官方软件也是提升安全性的一大举措，总而言之，没有绝对的安全，但是只要我们平时稍加留心就不会给破解者可乘之机。

参考链接：
https://www.freehao123.com/vps-ssh/
http://www.cnblogs.com/jxterminator/p/4105545.html