一、禁用root用户直接登录
Linux系统默认允许root用户通过SSH直接登录,这为暴力破解提供了明确的目标账户名。建议按以下步骤修改配置:
- 使用
vim /etc/ssh/sshd_config编辑配置文件 - 将
PermitRootLogin yes修改为PermitRootLogin no - 新建替代管理员账户并设置复杂密码
- 通过
service sshd restart重启服务生效
二、强化SSH访问安全
通过多维度加固SSH服务可显著提升防护等级:
- 修改默认22端口为非标准端口
- 设置登录失败锁定策略,如连续3次失败后封禁IP
- 仅允许指定IP地址段访问SSH端口
- 定期更新OpenSSH至最新版本
三、配置安全组与防火墙
阿里云安全组与云防火墙的双重防护可有效缩小攻击面:
| 策略类型 | 配置建议 |
|---|---|
| 入站规则 | 仅开放业务必需端口 |
| 出站规则 | 限制非必要外联请求 |
| 端口范围 | 避免使用大范围端口授权 |
四、启用多因素身份验证
在阿里云控制台启用MFA机制,要求登录时提供:
- 用户密码+动态验证码双重认证
- 绑定阿里云App生成临时访问凭证
- 高危操作强制二次验证
五、建立持续监控机制
通过以下手段实现攻击行为的及时发现:
- 开通云监控异常登录告警功能
- 分析/var/log/secure日志中的异常登录记录
- 部署Fail2ban自动封禁可疑IP
综合应用上述防护措施,可有效降低root账户被暴力破解的风险。建议定期开展安全演练,保持系统补丁更新,并建立自动化备份机制以应对极端情况。
