对于SSH服务的常见的攻击就是暴力破解攻击远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击,例如公钥验证或者双重验证。将不同的验证方法的优劣处先放在一边,如果我们必须使用密码验证方式怎么办?你是如何保护你的 SSH 服务器免遭暴力破解攻击的呢? fail2ban 是 Linux 上的一个著名的入侵保护的开源框架,它会监控多个系统的日志文件(例如:/var/log/auth.log 或者 /var/log/secure)并根据检测到的任何可疑的行为自动触发不同的防御动作。事实上,fail2ban 在防御对SSH服务
2015-03-17 07:26 Dan Nanni, theo-l
问题:当我启动我的Ubuntu桌面时,出现了一个弹出对话框,要求我输入密码来解锁默认的密钥环。我怎样才能禁用这个解锁默认密钥环弹出窗口,并自动解锁我的密钥环? 密钥环是一个以加密方式存储你的登录信息的本地数据库。各种桌面应用(如浏览器、电子邮件客户端)使用密钥环来安全地存储并管理你的登录凭证、机密、密码、证书或密钥。对于那些需要检索存储在密钥环中的信息的应用程序,需要解锁该密钥环。 Ubuntu桌面所使用的GNOME密钥环被整合到了桌面登录中,该密钥环会在你验证进入桌面后自动解锁。但是,如果你设置了自动登录桌面或
2015-06-07 10:13 Dan Nanni, GOLinux
大家好,今天我来向大家介绍如何在 Ubuntu12.04 上设置 SSH 的无密码登录功能。仅在工作站上有正确的(公私)密钥对以供匹配时SSH服务端才会允许你登录,反之访问将不会被允许。 正常情况下,我们需要连上SSH的控制台输入用户名及其密码才行。如果两者全部正确,我们就可以访问,反之访问被服务端拒绝。不过相比而言还有一种比用密码更安全的登录方式,我们可以在登录SSH时通过加密密钥进行无密码登录。 如果你想启用这个安全的方式,我们只需简单的禁用密码登录并只允许加密密钥登录即可。使用这种方式时,客户端计算机上会产生一对私钥
2015-04-05 13:47 Arun Pyasi, martin2011qi
假设你是hostA上的一个用户"aliceA",想以用户aliceB的身份ssh到hostB上,但又不想输入密码。那么,你可以参考这篇教程实现ssh无密码登录。 首先,你需要以用户aliceA的身份登录到hostA上。 然后,使用ssh-keygen生成一对rsa公私钥,生成的密钥对会存放在~/.ssh目录下。 $ ssh-keygen -t rsa 接下来,使用下面的命令在目标主机hostB上的aliceB用户目录下创建~/.ssh目录。如果在aliceB@hostB上已经存在.ssh目录,这一步会被略过。 $ ssh aliceB@hostB mkdir -p .ssh 最后,将hostA上用户aliceA的公钥拷贝到aliceB@hostB上,来实现无密码
2015-05-14 11:32 Dan Nanni, KayGuoWhu
我们一直积极地提供有关 Linux 技巧的系列文章,如果你错过了这个系列的最新文章,你或许可以去访问下面的链接。 Linux 中 5 个有趣的命令行技巧 在这篇文章中,我们将分享一些有趣 Linux 技巧,内容是有关如何产生随机密码以及加密或解密这些经过加盐或没有加盐处理的密码。 安全是数字时代中的一个主要话题。在电脑,email,云端,手机,文档和其他的场合中,我们都会使用到密码。众所周知,选择密码的基本原则是 易记,难猜。考虑过使用基于机器自动生成的密码吗?相信我,Linux 非常擅长这方面的工作。 1. 使用命令 pwgen 来生成一
2015-05-22 13:47 Avishek Kumar, FSSlc
Vault是用来安全的获取秘密信息的工具,它可以保存密码、API密钥、证书等信息。Vault提供了一个统一的接口来访问秘密信息,其具有健壮的访问控制机制和丰富的事件日志。 对关键信息的授权访问是一个困难的问题,尤其是当有许多用户角色,并且用户请求不同的关键信息时,例如用不同权限登录数据库的登录配置,用于外部服务的API密钥,SOA通信的证书等。当保密信息由不同的平台进行管理,并使用一些自定义的配置时,情况变得更糟,因此,安全的存储、管理审计日志几乎是不可能的。但Vault为这种复杂情况提供了一个解决方案。 突出特点 数据
2015-05-11 10:48 Aun Raza, wwy-hust
什么是好密码?几乎每一个网站都给出了差不多一样的标准: 长度得 8 位以上;需含大小写字母、数字及符号;不要用任何出现在字典里面的词,包括部分替换(如用 p@ssword 或 fai1 也不好)。 只要你的密码满足了这些标准,基本上网站都会奖励你一个绿色的强密码标示好密码。但是实际上你和网站都错了。为什么?原因首先要从密码是如何被破解讲起。 黑客如何破解密码 网站是通过比对输入的密码与数据库中的密码来验证用户的。但是一般这些密码都不是以明文的方式存放,而是用哈希算法对保存的密码进行单向加密,输出的结果是无法逆向工程
2015-02-09 13:34 boxi
多数需要用户注册的网站都会告诫用户必须使用强力密码,不要使用简单易猜的密码,比如Password、123456等等。然而每年各类安全公司的报告都显示,为全球各地的互联网用户在注册账户或者为电脑、手机、平板电脑设定密码的时候,通常都选择几十个简单的密码。另外,一些用户使用生日、宠物名字作为密码,让知道这些用户日常生活习惯的黑客有机可乘。 通常人们都认为黑客是精明的群体,他们都会选择一个强力密码,其实不然,即使最著名的黑客也会在密码强弱上犯错误。 比如,杰里米哈蒙德是美国联邦调查局最想要抓到的网络犯罪,他在2012年发
2014-11-14 10:27
她为什么要这么对我?为什么啊?每天,我的脑海里都充斥着这样的话语,让我不由地恍恍惚惚。 事情发生在11年,iOS图标刚开始普及,人们还在使用除臭剂,而我,则陷入了沮丧和绝望的泥淖中,整天唉声叹气,神思恍惚我离婚了。 值得庆幸的是,我还不至于蠢到家(并且有一群努力开解我的好朋友),我找到了一些方法来度过难关。 那一天,我走进办公室,刚刚开启电脑,准备工作,然后冷不丁出来下面这个消息: 您的密码已过期。 请点击Change password以更改您的密码。 毫无疑问的,如果我不点击Change password,接下来的工作就没法开展。
2015-01-13 14:29 Lili
据外媒报道,许多用户都非常信任LastPass能保证他们所使用密码的安全,所以当听到这家公司遭到网络攻击的消息时是多么令人担忧。上周,LastPass一发现该攻击后立马停止了其网络上被黑部分的活动,并对此展开了调查。现在,LastPass发布了该次调查结果的报告。 坏消息是,邮箱地址、密码提示、身份认证等信息都在攻击中被黑客盗走;而好消息是,用户的密码仍然安全。 LastPass在报告中指出,虽然加密的用户数据库在攻击中被盗走,但并没有迹象表明用户账号遭到不法分子的登入。 该家公司CEO、联合创始人Joe Siegrist称:我们对自己的加密
2015-06-16 10:00
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: