本文详细讲解宝塔服务器防御暴力破解的7种有效方法,包括修改SSH端口、启用Fail2Ban、配置防火墙规则、使用密钥登录等实用技巧,帮助管理员提升服务器安全性。
一、什么是暴力破解攻击?
暴力破解(Brute Force Attack)是指攻击者通过自动化工具尝试大量用户名和密码组合,试图非法获取服务器访问权限的攻击方式。这类攻击对使用弱密码或默认配置的服务器威胁极大。
二、宝塔服务器防御暴力破解的7种方法
1. 修改默认SSH端口
通过宝塔面板修改SSH默认22端口可有效减少自动化攻击:
修改SSH配置文件
vim /etc/ssh/sshd_config
找到Port 22改为其他端口如5822
Port 5822
重启SSH服务
systemctl restart sshd修改后需在宝塔面板防火墙和服务器安全组同步放行新端口。
2. 启用Fail2Ban防护
Fail2Ban能自动封禁多次尝试失败的IP:
宝塔软件商店安装Fail2Ban
配置规则文件
vim /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 5
bantime = 864003. 配置防火墙策略
宝塔防火墙建议设置:
- 启用CC防御,设置阈值5-10次/秒
- 仅开放必要端口
- 启用国家/地区IP限制
4. 使用SSH密钥登录
彻底禁用密码登录,改用更安全的密钥认证:
生成密钥对
ssh-keygen -t rsa -b 4096
禁用密码登录
vim /etc/ssh/sshd_config
PasswordAuthentication no5. 设置复杂密码策略
强制要求:
- 密码长度≥12位
- 包含大小写字母+数字+特殊符号
- 定期(90天)更换密码
6. 启用双因素认证
宝塔面板支持Google Authenticator:
- 面板设置 → 安全设置
- 开启二次验证
- 手机端安装验证器APP扫码绑定
7. 定期检查登录日志
分析异常登录尝试:
查看最近登录记录
last
检查认证日志
grep "Failed password" /var/log/auth.log三、进阶安全建议
- 定期更新系统和宝塔面板
- 禁用root直接登录
- 设置关键目录权限(如/www 755)
- 安装安全插件如rkhunter
通过以上措施组合实施,可有效防御99%的暴力破解攻击。建议至少采用3种以上防护方式形成多层安全屏障。
评论