SSH是管理Linux服務(wù)器的主要方式,運(yùn)維人員通過(guò)SSH客戶端工具遠(yuǎn)程登錄服務(wù)器進(jìn)行日常操作�����,管理非常方便�����,無(wú)需去現(xiàn)場(chǎng)維護(hù)�。因此幾乎每臺(tái)Linux服務(wù)器都開(kāi)啟了SSH服務(wù),默認(rèn)使用22端口��。這就給不法分子提供了可趁之機(jī)��,他們采用暴力破解或撞庫(kù)的方式�����,通過(guò)SSH登錄,破解系統(tǒng)賬戶密碼�����。同時(shí)Linux系統(tǒng)也可能出現(xiàn)與SSH有關(guān)的系統(tǒng)漏洞�����,黑客可以通過(guò)這些漏洞在服務(wù)器執(zhí)行任意代碼��,直接入侵服務(wù)器��。
SSH雖然方便��,但存在一定的安全風(fēng)險(xiǎn)��。如果不是必須使用SSH功能�,建議關(guān)閉SSH服務(wù)。如果必須使用SSH�����,建議設(shè)置復(fù)雜的密碼�����,長(zhǎng)度超過(guò)20位,包含數(shù)字��、大小寫(xiě)字母和特殊符號(hào)��。同時(shí)做好密碼保護(hù)����,防止密碼泄露導(dǎo)致服務(wù)器被輕易非法登錄。如果可以�,最好對(duì)SSH端口做一些必要的安全防護(hù),例如限制登錄客戶端IP���,只有授權(quán)的IP才能登錄。
如果你使用的云主機(jī)����,建議采用VNC登錄(即通過(guò)云主機(jī)控制臺(tái)以網(wǎng)頁(yè)方式SSH登錄服務(wù)器),注意務(wù)必在安全組關(guān)閉SSH端口���。
阿里云VNC登錄云主機(jī)方法:
在“阿里云官網(wǎng)-控制臺(tái)-產(chǎn)品與服務(wù)-云服務(wù)器ECS”����,進(jìn)入實(shí)例詳情,點(diǎn)擊“遠(yuǎn)程連接”����,選擇“展開(kāi)其他登錄方式”,選擇“通過(guò)VNC遠(yuǎn)程連接”��,點(diǎn)擊“立即登錄”�,就可以登錄服務(wù)器了!(如下圖一)
(圖一:阿里云VNC登錄)
騰訊云VNC登錄云主機(jī)方法:
在“騰訊云官網(wǎng)-控制臺(tái)-云服務(wù)器-實(shí)例”���,點(diǎn)擊“登錄”���,選擇“其他登錄方式 VNC登錄” ,就可以登錄服務(wù)器了���。ㄈ缦聢D二)
(圖二:騰訊云VNC登錄)
物理服務(wù)器可以使用VNC登錄嗎����?
理論上是可以的����,但實(shí)際沒(méi)什么IDC廠商支持。幸運(yùn)的是�,有類似的解決辦法���,讓你也可以通過(guò)網(wǎng)頁(yè)登錄SSH。需要安裝《護(hù)衛(wèi)神.主機(jī)大師》�,安裝后在面板左側(cè)導(dǎo)航有一個(gè)“SSH管理”的功能(如下圖三),在里面添加登錄信息�����,主機(jī)地址填寫(xiě):127.0.0.1�����,即本機(jī)��。就可以通過(guò)網(wǎng)頁(yè)登錄服務(wù)器了�。注意務(wù)必在防火墻關(guān)閉SSH端口。后期每次登錄服務(wù)器���,都需要先進(jìn)入面板,再SSH登錄����。
(圖三:通過(guò)網(wǎng)頁(yè)方式SSH登錄)
如果不想安裝面板,如何提升SSH安全呢����?
這就需要使用第三方軟件來(lái)實(shí)現(xiàn)了���。推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》,因?yàn)閷?duì)SSH有非常多的防護(hù)模塊����,例如:在線開(kāi)關(guān)SSH服務(wù)、限制終端IP區(qū)域��、限制登錄時(shí)間��、防護(hù)暴力破解����、SSH登錄消息通知,如下圖四��。
(圖四:Linux服務(wù)器SSH防護(hù))
·遠(yuǎn)程桌面服務(wù)
可以在線開(kāi)關(guān)SSH服務(wù)�。平常不使用SSH時(shí),關(guān)閉掉此服務(wù)����,杜絕黑客以此入侵。需要時(shí)再開(kāi)啟�。非常方便����,無(wú)需擔(dān)心開(kāi)啟不方便的難題(如果沒(méi)有在線開(kāi)關(guān)功能��,一般只能由機(jī)房工作人員接顯示器登錄服務(wù)器開(kāi)啟)�����。
·終端IP/區(qū)域防護(hù)
非常推薦的功能�����!限制SSH客戶端的IP地址或區(qū)域�。建議設(shè)置只允許您所在城市才能SSH登錄,解決家庭寬帶沒(méi)有固定IP�,無(wú)法限制客戶端IP的難題。如上圖四設(shè)置的�,只允許成都地區(qū)SSH登錄服務(wù)器,其他地區(qū)無(wú)法連接SSH端口��,即使SSH存在漏洞��,黑客也沒(méi)法利用����。黑客和你同所城市的幾率非常低,因?yàn)樗麄優(yōu)榱瞬槐凰菰�,都?huì)使用國(guó)外服務(wù)器做跳板發(fā)起攻擊。
·遠(yuǎn)程時(shí)間防護(hù)
限制SSH開(kāi)放的時(shí)間��,例如只在上班時(shí)間開(kāi)放�,下班時(shí)間自動(dòng)關(guān)閉SSH。
·暴力破解防護(hù)
防止黑客對(duì)SSH進(jìn)行暴力破解攻擊和撞庫(kù)攻擊����。一旦發(fā)現(xiàn)異常連接,立即鎖定客戶端IP�����,阻止黑客暴破行為����。
·登錄消息通知
SSH登錄成功和失敗都會(huì)立即發(fā)送消息通知,讓運(yùn)維人員及時(shí)發(fā)現(xiàn)非法登錄�����,省心運(yùn)維��。通知效果如下圖五�,支持短信�、微信和郵件三種方式����。
(圖五:SSH登錄立即發(fā)送消息通知)
總的來(lái)說(shuō),Linux服務(wù)器離不開(kāi)SSH����,雖然也存在一定風(fēng)險(xiǎn),但只要按上述方法部署了防護(hù)�,安全將不再是問(wèn)題!
