如何预防帐户暴力破解攻击？

预防措施

在企业主机安全已有的防护能力基础之上，可以从应用、网络防护层面出发，做到全方位预防暴力破解。

• 应用层面
  • 使用SSH KEY登录

    为主机资源、应用服务器开启SSH KEY密钥登录，在每次登录时要求公钥和私钥必须相匹配才可登录成功。创建密钥对详情请参见创建密钥对。

  • 开启双因子认证

    双因子认证功能是一种双因素身份验证机制，结合短信/邮箱、登录验证码，对云服务器登录行为进行二次身份认证。

    在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。详细操作请参见双因子认证。

• 网络层面
  • 配置SSH登录白名单

    SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，在开启密钥登录的基础之上只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单。

  • 修改默认端口

    将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。详细操作请参见怎样修改远程登录的端口？。

  • 设置安全组规则，限制攻击源IP访问您的服务端口
    

    建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。

    账户破解防护可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。

    如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。

    例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示：

    表1 仅允许特定IP地址远程连接云服务器

    方向	协议应用	端口	源地址
    入方向	SSH（22）	22	例如：192.168.20.2/32

  • 设置安全强度高的口令

    口令复杂度策略检测和弱口令检测可检测出主机系统中使用弱口令的帐户，您可以在控制台查看并处理主机中的口令风险。

    口令的设置方法请参见如何设置安全的口令复杂度策略、如何设置安全的口令。