增強VPS SSH賬號安全:改端口,禁用Root,密鑰登錄,Denyhosts防暴力攻擊

vps SSH賬號是我們日常管理VPS的主要登入方式，尤其是Root賬號，對linux系統安全至關重要。以前好多站長喜歡用Putty中文版，這實際是別人修改官方Putty漢化而來，這些軟件被植入了後門，導致好幾個有名的站點信息泄露，損失慘重。

如何知道自己的VPS賬號正在遭受壞人的掃描和暴力破解呢？

簡單的方法就是查看日誌：cat /var/log/auth.log。如何來增強VPS SSH賬號的安全性呢？除了養成使用正規軟件的好習慣外，還要從VPS本身來加強VPS SSH賬號的安全性。

默認的SSH端口都是22，通過修改自己的VPS的端口先為掃描者增加一道端口門檻，VPS默認的賬號是Root，如果我們禁用了Root，那麼要攻破賬號又得先暴力猜測VPS的賬號，難度又增加幾分。如果還不放心，我們可以直接禁用密碼登錄驗證VPS的方式，改用密鑰登錄，這樣安全係數是相當高了。

Linux還有一個自動統計VPS登錄錯誤工具：Denyhosts，一旦登錄VPS賬號錯誤次數超過了Denyhosts安全設置，Denyhosts就會將該IP記錄下來，同時將其放入黑名單當中，禁止該IP在某一段時間內繼續訪問VPS，通過Denyhosts可以實現自動封鎖惡意IP。

VPS主機和網站安全優化是一個持久的問題，沒有一勞永逸的“安全設置”，道高一尺，魔高一丈，我們只有不斷地發現問題，才能最大限度地保護自己網站和vps安全：

增強VPS SSH賬號安全:改端口,禁止Root,密鑰登錄,Denyhosts防暴力攻擊

一、增強VPS SSH賬號安全方法一：修改SSH登錄端口

1、用下面命令進入配置文件。

 vi /etc/ssh/sshd_config

2、找到#port 22，將前面的#去掉，然後修改端口 port 123（自己設定）。

3、然後重啟ssh服務。

/etc/init.d/ssh restart

二、增強VPS SSH賬號安全方法二：使用密鑰登錄SSH

1、SSH登錄方式有賬號+密碼和密鑰兩種形式，為了阻止暴力破解VPS的賬號和密碼，我們可以放棄密碼驗證的方式，改用密鑰文件驗證。

2、執行以下命令在VPS上生成密鑰文件。

ssh-keygen -t rsa

3、生成密鑰時會詢問你密鑰保存的位置，默認即可，還有你可以為你的密鑰還設置一個密碼，默認為空。

4、密鑰生成後，進入密鑰存放的目錄中，執行以下命令，將公鑰生成一個新的文件。

cat id_rsa.pub >> authorized_keys

5、將id-rsa這個私鑰文件下載到本地，打開PuTTYGen軟件，執行Conversions->Import Key，導入這個私鑰文件。

6、Putty使用密鑰登錄SSH方法：如果你要使用Putty，在PuTTYGen中選擇Save private key，這時會在本地生成一個PPK文件。

7、然後在Putty中填入服務器名，在SSH授權方式中選擇密鑰，導入剛剛保存的PPK文件。

8、使用xshell通過密鑰登錄VPS方法：如果要使用Xshell，請在PuTTYGen的Conversions中選擇Export Open#SSH Key，設置一個名稱保存。

9、然後啟用Xshell，填入服務器IP，在用戶身份驗證中選擇“Public Key”，然後瀏覽導入剛剛你保存的Key文件。

10、導入了Key後，你就可以直接打開登錄VPS了，不需要輸入密碼，即可進入VPS。

11、有了密鑰登錄VPS，我們就可以禁止用密碼登錄這種驗證方式了，還是編輯配置：vim /etc/ssh/sshd_config，添加一行：PasswordAuthentication no，如果有了這一行，請把yes改成no，保存，重啟SSH服務，生效。

三、增強VPS SSH賬號安全方法三：禁用Root賬號

1、如果你已經設置SSH密鑰登錄的方式，就可以禁用Root賬號了，或者你可以新建一個VPS賬號。執行以下命令：

useradd freehao123 #添加用戶名
passwd freehao123 #為freehao123用戶名設置密碼

2、然後編輯進入配置：vim /etc/ssh/sshd_config，找到PermitRootLogin yes，然後後面的Yes改no，如果沒有這一行命令，直接將：PermitRootLogin no 加進去。

3、保存後，重啟SSH服務，生效。

四、增強VPS SSH賬號安全方法四：Denyhosts防暴力攻擊

1、Linux各平台現在基本上都可以直接安裝Denyhosts了，執行以下命令：

debian/ubuntu：
sudo apt-get install denyhosts
 
RedHat/centos
yum install denyhosts
 
Archlinux
yaourt denyhosts
 
Gentoo
emerge -av denyhosts

2、安裝好了Denyhosts，默認的配置基本上就可以防禦一定的暴力攻擊了，/etc/hosts.deny 文件里保存了被屏蔽的記錄。

3、如果你要自定義Denyhosts的相關配置，執行：vim /etc/denyhosts.conf，以下是相關參數的說明：

SECURE_LOG = /var/log/auth.log #ssh 日誌文件，它是根據這個文件來判斷的。
HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件
PURGE_DENY = #過多久後清除已經禁止的，空表示永遠不解禁
BLOCK_SERVICE = sshd #禁止的服務名，如還要添加其他服務，只需添加逗號跟上相應的服務即可
DENY_THRESHOLD_INVALID = 5 #允許無效用戶失敗的次數
DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數
DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #運行目錄
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否進行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的進程ID
ADMIN_EMAIL = root@localhost #管理員郵件地址,它會給管理員發郵件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts 
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用戶的登錄失敗計數會在多久以後重置為0，(h表示小時，d表示天，m表示月，w表示周，y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一個ip登陸成功後，失敗的登陸計數是否重置為0

五、增強VPS SSH賬號小結

1、上面講到了四個方法來增強VPS SSH賬號的安全性，那麼如何得知自己的VPS曾經或正在遭受賬號暴力破解登錄呢？執行以下命令，查詢出來的結果中包含了“ip地址=數量”就是攻擊者信息。

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'

2、目前在Putty官網上沒有看到中文版本的Putty，所以網上流行的一些漢化版本的Putty很有可能被植入了後門，大家在使用時一定要特別留心。Xshell官網直接提供了多國語言，包括中文在內。