防WanaCrypt0r 2.0勒索软件,使用SSH密钥对登陆linux服务器

摘要: 不使用SSH受到的威胁5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称 WCry2.0),Wcry2.0利用4月份nsa泄露的安全漏洞对windows系统进行攻击,从而植入勒索软件,据统计全球上百个国家的13万多台电脑遭到感染,其中不乏大型企业,医院及各种公共服务行业,带来了巨大的恶意影响。

使用SSH登陆服务器_main.jpg

不使用SSH受到的威胁


5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称 WCry2.0),Wcry2.0利用4月份nsa泄露的安全漏洞对windows系统进行攻击,从而植入勒索软件,据统计全球上百个国家的13万多台电脑遭到感染,其中不乏大型企业,医院及各种公共服务行业,带来了巨大的恶意影响。

漏洞、文件加密型的勒索软件、比特币付费解密的完美组合,已成为网络攻击敲诈勒索的最佳实践。我们看到近年来不断出现利用各种服务漏洞和不安全配置进行勒索敲诈的案例,如大量裸奔在互联网的hadoop、mongodb、elasticsearch等服务的不安全配置及弱口令导致的勒索。

同样linux ssh服务也面临以上的风险,据国外媒体报道,一台在互联网运行的linux系统开启ssh服务10秒内,就会出现对ssh的口令破解攻击,由此可见攻击者通过自动化的方式不断去扫描整个互联网寻找攻击目标,ssh用户口令破解也因为攻击手段简单、粗暴,技术门槛低成为最常见的攻击方式。

ssh做为linux系统最最主要的远程管理工具,一旦成功破解系统用户密码,尤其是root用户,就会获得系统的最高权限,除了可以通过勒索软件用来实施勒索外,系统也可能被安装后门、木马等恶意软件,成为僵尸主机。

如果您还在使用密码登陆ecs实例的ssh服务,除了通过安全组设置严格的ssh服务登陆源地址外,强烈建议改用SSH密钥对 登陆ecs实例,禁用密码方式登陆。

SSH密钥对利用高强度的公私钥及对称加密算法实现对用户的认证,有效降低了破解用户口令的攻击。阿里云ecs产品SSH密钥对功能除了帮助用户有效降低密码攻击外,还为用户带来极佳的SSH密钥对管理功能,不仅实现了对key统一的管理,降低key管理的复杂度,更能在每台实例启动时自动部署SSH密钥对,减轻后期SSH密钥对的分发、部署工作,阿里云会继续完善及改进产品功能及体验,协助用户构建更加安全的运维管理体系。

什么是 SSH 密钥对

SSH 密钥对是通过一种加密算法生成的一对密钥:一个对外界公开,称为“公钥”;另一个您自己保留,称为“私钥”。

如果您已经将公钥配置在 Linux 实例中,那么,在本地或者另外一个实例中,您可以使用私钥通过 SSH 命令或相关工具登录实例,而不需要输入密码。

SSH秘钥_2.jpg

优势

使用 SSH 密钥对有以下优势:

  • 安全性高:
    • 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
    • 不可能通过公钥推导出私钥。
  • 易用快捷:只需在控制台和本地客户端做简单配置即可远程登录实例,再次登录时无需再输入密码。如果您需要批量维护多个 ECS 实例,推荐使用这种方式登录。


如果使用 SSH 密钥对登录 Linux 实例,默认禁用密码登录,以提高安全性。

使用 SSH 密钥对有如下限制:

  • 仅支持 Linux 实例,不支持 Windows 实例。
  • 一个账号在一个地域最多可以拥有 500 个密钥对。
  • 一个 Linux 实例只能绑定一个 SSH 密钥对。如果您的实例已绑定密钥对,绑定新的密钥对会替换原来的密钥对。
  • 在 Linux 实例的生命周期内,您可以重新绑定 SSH 密钥对和实例。重新绑定后,不需重启实例即可生效。
  • 除了系列 I 的非 I/O 优化实例外,所有实例规格族均支持 SSH 密钥对登录。


阿里云创建 SSH 密钥对

详见:https://help.aliyun.com/document_detail/51793.html

阿里云后台创建SSH秘钥_2.jpg

使用 SSH 密钥对连接 Linux 实例

详见:https://help.aliyun.com/document_detail/51798.html

使用SSH登陆服务器_2.jpg

猜你喜欢

微信QQ空间QQ好友新浪微博联系客服