如何给VPS设置不容易破解的ROOT密码

在网上用什么密码,是个比较头疼的事情,如果密码设置不好的话,您的VPS很有可能在1分钟之内就会被hacker破解。一般hacker破解您的VPS后以用来继续扫描其他的弱密码服务器或者直接用来发动DDOS攻击,影响整个网络网段用户的速度。在这种情况下Hi-VPS会立即关闭甚至删除您的VPS(并且不会退还任何余额),请一定要注意。

VPS被人破解的重要表现特征就是VPS产生了大量的对外流量,即使平时您很少使用VPS。因为hacker会利用您的VPS对外进行DOS流量攻击或者SSH扫描,会消耗VPS大量的网络流量。所以当您看到您的VPS突然产生了天量的对外流量,几乎可以肯定是您的VPS密码太弱而被hacker破解,或是您的VPS有软件漏洞,导致VPS被破解。

为什么删除VPS不会退款

我们常常听到用户这样的反馈:

用户甲:“我太冤了,我都不知道怎么回事,为什么收到邮件说我的VPS对外SSH扫描,还给我删除了?我本来就是菜鸟,根本不懂这些啊,我只不过是把root密码设置成了123456,这样好记嘛??!”

首先,我们相信不是您本人发动的对外恶意DOS攻击或SSH端口扫描,而是可能是因为您的root密码太弱或VPS上放置的网站程序漏洞导致被Hacker破解的。即使如此,一旦您的VPS对外发动攻击的话,机房收到投诉后,机房首先会扣除Hi-VPS在机房的“保证金”。

为什么机房会很忌惮VPS对外发动攻击?因为如果属于机房的IP对外发动了攻击(例如群发垃圾邮件、对外扫描、对外DOS等),就会导致机房的IP地址段被列入 spamhaus或者 spamcop的黑名单中!每删除一个列入黑名单中的IP,需要150美刀!如果是因为您的VPS对外攻击导致机房IP被列入黑名单,机房会要求Hi-VPS来承担这部分费用。

更可怕的是,如果这台服务器上有多次对外DOS的现象,机房就不是简单的扣钱的问题,管理严格的机房会直接下架Hi-VPS的服务器并且删除数据–这样的话,这台服务器上所有用户的数据就都没有了。为了用户数据的安全,我们对DOS或SSH扫描是零容忍的态度。

所以即使不是您本人发动的恶意攻击或扫描,我们也不会退回您的VPS账户余额,因为你的余额甚至不够我们缴罚款。举个例子,例如您到租车公司租了一辆车,然后不小心开车在马路出了交通事故,然后您会对租车公司说“车我不租了,你看我也是交通事故的受害者,你把租车费退给我吧”?

收到VPS流量异常通知邮件后该怎么做

如果您收到了我们发给您的“VPS流量异常”通知邮件后,请您尽快处理。在您通过服务单系统联系我们之前,我们一般会根据异常流量的大小选择:临时关闭(您可以通过登录控制面板,点击启动VPS按钮即可启动VPS)或临时暂停(您无法通过控制面板启动VPS,必须尽快和我们联系)两种方案来临时处理您的VPS账户。

您需要做的:

  1. 尽快备份VPS上的数据(通过FTP或SFTP把数据下载到您的PC上),当然如果您有日常备份数据的习惯就更好了。
  2. 确认数据备份完毕后,立刻在控制面板中选择重装OS。切勿简单的以为把VPS的root密码更换为强度高的密码就可以了。因为被Hack入侵过的Linux一般都会被Hacker放置后门,即使更换root密码也没用。最为安全的处理方式就是重装OS,并且设置高强度密码。
  3. 尽快找出被黑原因。弱root密码仅仅是最常见的被黑原因,但是并不是说如果您的VPS root密码很强壮就万无一失了,您VPS上运行的服务或者网站程序的漏洞也很有可能会导致VPS被黑,例如赫(chou)赫(ming)有(yuan)名(yang)的dedecms漏洞或一些设计存在缺陷的Wordpress插件漏洞以及DZ论坛有漏洞的插件都有可能导致VPS被黑。例如这个例子:VPS被当作PHP-DDoS的肉鸡了 | VPS 被人家黑了,然后往外发送 DDOS 攻击,导致流量超标 3046% ,$430 账单来了。我该怎么跟服务商解释?

如果您无法快速处理您流量异常的VPS,我们可能暂停甚至是删除您的VPS!

windows的密码以及安全

首先,administrator用户必须有高强度的密码,否则弱密码很容易被破解(我们给您安装后的默认密码必须尽快修改)。还有需要关闭其他非管理员用户。

下载软件也需要注意。切勿下载来源不明的盗版软件或“汉化软件”,因为这些软件中经常包含后门或病毒。这些病毒很可能导致您的VPS被Hacker利用作为“肉鸡”,对外发动攻击或扫描。

更改Linux root密码

在创建VPS的时候,我们为您的VPS创建了一个6位大写字母+数字的随机密码,您可以在登陆VPS后,使用passwd命令修改VPS root密码:

最弱智的密码

“123456”“666666”这样的密码毫无疑问是最为弱智的密码,这个不用说。

自作聪明的密码

有些人意识到“123456”弱智后,稍微作了改变设置为“123abc”或“meiyoumima(没有密码的拼音)”之类的密码,并且自认为这是强度很高的密码,哪知道其实这也是非常“弱智”并且非常好破解的密码。Hacker们破解VPS一般使用的是ssh字典攻击。首先hacker在整个IP地址段中扫描某个IP是否敞开了22端口(SSHD服务默认端口),一旦发现敞开了22端口的IP后,就字典攻击工具开始破解VPS了。什么是“字典”?字典工具一般会有一个根据统计得出被用来作为密码频率比较高的单词,类似于:

真正的字典词汇量很大,不仅限于这12个常用密码。从这里就能看到,其实“123abc”的强度和“123456”是一样的,hacker都能在几秒钟破解你的root密码。并且如果能更改SSH默认的端口的话,也能阻挡很大一部分的字典攻击。

什么是好的root密码

好的root密码必备的两个条件:1. 不容易被破解:!: 2.便于记忆:!:。 使用不便于记忆的密码也是很麻烦的一件事。比如说使用你的邮件地址就是比使用“123qwe”或者“123abc”要好得多的密码,最好的密码还是用中文拼音+数字+你的邮箱地址,这样既好记又包含有各种符号。例如:

这就是个不错的密码。

如何保证VPS SSH登录的安全?

VPS默认的SSHD服务开启在22端口,互联网上有很多所谓的“hacker”时刻用ssh扫描工具扫描IP上的22端口,然后用字典工具尝试是否有类似于“123abc”这样的弱密码,一旦您的root密码是弱密码的话,您的VPS就会成为“肉鸡”。下面Hi-VPS介绍几种简单的方法来保护您的VPS SSH安全。

1. 更换sshd端口

最简单的办法就是更改sshd默认的22端口,这样ssh扫描工具就以为这个IP上并没有开启sshd服务。

运行上面的命令就把ssh的默认端口改为22233,然后需要重启sshd服务,生效更改:

这样就能在很大程度上解决VPS的ssh被扫描的风险。只需在ssh登录软件上把默认的ssh端口也改为22233即可。

2. 禁用ssh密码登录,仅使用证书登录

使用证书登录SSH操作比较麻烦,一般用户在更改默认sshd端口后并且设置非字典常见密码后,可以抵挡一般性的ssd扫描,在不设置ssh证书的前提下也能在很大程度上增加系统的安全性。如果您不怕麻烦的话,设置仅允许证书登录ssh能最大程度的保护您的VPS的安全。

使用ssh私钥登录而不使用密码登录,能在更大程度上保证ssh的安全。目前Hi-VPS喜欢使用putty的私钥,因为putty提供一个“pageant”程序能运行在windows上作为私钥代理,使用起来很方便。

(1) 创建私钥

可以用putty自带的“PUTTYGEN”来创建私钥,PUTTYGEN就在putty的目录下面,双击运行后弹出界面.

点击界面中的Generate按钮,开始生成一个私钥,在过程中鼠标要不停的随机移动产生足够的随机数来帮助生成高强度的私钥:

 

组后生成的私钥就是一个很长的随机字符串,然后输入私钥密码提示(防止你忘了私钥密码),私钥密码:

 

先在复制生成的私钥字符串,然后点击save private key来保存私钥.

(2) 上传私钥至VPS

先通过ssh登录后,运行如下命令创建ssh服务端配对私钥:

在VIM中按o(小写),然后右键(通过putty登录ssh的时候,putty右键表示复制内容),刚才的私钥密码就复制进去了,然后按Esc,按两次大写字母Z,保存退出.

(3) 在putty中导入私钥

点击“Broser”按钮,导入私钥:

 

然后设置自动登录用户,这就不用每次都输入登录用户名了:

 

OK,保存session

导入私钥后,再登录putty就可以直接输入比较简单的私钥密码了,不用输入几十位原始密码.

(4) 禁用VPS的SSHD的密码登录

首先需要编辑sshd_config文件:

把PasswordAuthentication yes这一行改为:

然后重启ssh服务:

(5) 使用PAGEANT代理私钥

如果您有好几台VPS需要管理,就可以用使用PAGEANT,每次甚至不用输入私钥密码就能登录. 运行PAGEANT.exe,导入你刚才保存的私钥文件,PAGEANT会让你输入私钥密码,输入后PAGEANT就待在右下角任务栏中,如果需要连接那个ssh,就右键点击PAGEANT,从saved sessions中选择,直接登录.

去打赏

您的支持将鼓励我们继续创作!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

发表评论