基础安全配置原则
通过修改SSH默认端口可有效减少暴力破解风险,建议将22端口改为1024以上的非标准端口。同时禁用root用户直接登录,在/etc/ssh/sshd_config中设置PermitRootLogin no,强制用户通过普通账户登录后切换权限。
密码策略应包含以下要求:
- 长度至少12位字符
- 包含大小写字母、数字和特殊符号组合
- 每90天强制更换密码
SSH密钥认证机制
使用RSA密钥替代密码登录可提升安全等级。通过ssh-keygen -t rsa生成密钥对后,将公钥上传至服务器的~/.ssh/authorized_keys文件,并在配置文件中设置PasswordAuthentication no完全禁用密码登录。
密钥管理需遵循以下规范:
- 私钥文件权限设置为600
- 定期轮换密钥对(建议每6个月)
- 为密钥设置强密码短语
防火墙与访问控制
配置iptables或ufw防火墙时,应遵循最小开放原则:
| 服务 | 端口 | 访问范围 |
|---|---|---|
| SSH | 自定义端口 | 仅管理员IP段 |
| HTTP/HTTPS | 80/443 | 0.0.0.0/0 |
通过AllowUsers指令限制可登录用户,并设置MaxStartups 5防止DDoS攻击。
监控与应急响应
部署Fail2ban工具自动封锁异常IP,配置参数需包含:
- 最大失败尝试次数(默认3次)
- 封锁时间(建议86400秒)
- 白名单IP排除
定期审计/var/log/auth.log日志文件,监控SSH登录行为。数据备份应遵循3-2-1原则:保存3份副本,使用2种介质,其中1份异地存储。
通过多层次的防御体系构建,包括密钥认证替代密码、网络层访问控制、实时监控告警等措施,可显著降低SSH与VPS账号的泄露风险。建议每季度进行安全审计,及时更新补丁与安全策略。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/480709.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
