几乎所有 Linux 服务器都通过 SSH 来进行远程管理,因此就招来许多不速之客,想要通过 SSH 来取得您的服务器权限。 SSH 安全不容忽视! ## 暴力破解原理 入侵者会通过使用大量随机 IP,尝试使用 SSH 登录您的服务器。 除了 root 用户,他们也会尝试 admin、user、test、www、mail 等您可能使用的系统用户名来尝试登录。 使用同一个用户尝试登录时,入侵者会尝试使用各种常见的简单密码,如 123456、admin、admin123 等等。 如果您的系统用户名和密码恰好被他们尝试碰对,您的服务器就被入侵成功了。 ## 暴力破解的表现 如果您的服务器有公网 IP,几乎没有可能不被暴力破解。 下面这张图是我们刚开通的一台云服务器,没几分钟就被入侵者盯上了,在【通知中心】中可以看到大量的登录失败提醒: ![](https://box.kancloud.cn/6dd9e9ce083d822ac76e1d1957abfb05_1300x559.png) ## 防御策略 ### 策略一:增强密码安全强度 修改你的系统用户密码,尽量长一些复杂一些,这样即使暴力猜解,密码被破解的机率也很小。 请进入【系统用户管理】,修改被攻击用户的密码,如: ![](https://box.kancloud.cn/71edab5406a1a9a95b9eb2502ad87767_1075x411.png) 其它系统用户如果不是您添加的,一般都是处于(禁止登录)状态,不需要去修改密码。 密码修改完后,您可能不再希望收到登录失败通知。 如果您已确保密码设置得足够复杂,一定要关闭这类通知,可以在【系统用户管理】-【通知设置】中设置,如: ![](https://box.kancloud.cn/a9e4844947cf2d5aeb94a75a13b6b42f_696x415.png) ### 策略二:使用非默认的SSH端口 SSH默认端口是22,攻击者一般是使用海量肉鸡来扫描服务器的 22 端口,因此如果你把端口改掉,他们自然就扫描不到啦。 请进入【SSH服务器】,如果未安装【SSH服务器】,请先到【软件管家】中安装这个应用。 修改端口(建议在20000~60000之间,并且不要有任何规律),并重启SSH服务,如: ![](https://box.kancloud.cn/c62c9aa2684cdefe6f0f77d29046a417_760x377.png) 新端口设置完成并重启SSH服务后,请务必在【防火墙】菜单中添加规则配置,允许新设置的端口被访问,如: ![](https://box.kancloud.cn/376dae11bd85fe1bf6a75c61856c1561_1048x338.png) 在被拒绝的端口上添加通行规则: ![](https://box.kancloud.cn/e96bbe1074c47037bcbe8f5025ea5d28_893x305.png) 设置完成: ![](https://box.kancloud.cn/cfb85dd14924a2934721f788ef4bc1d7_1067x337.png)