如何预防账户暴力破解攻击？-九游平台

账户破解风险

一旦主机账户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。

如何预防

• 配置ssh登录白名单

  ssh登录白名单功能是防护账户破解的一个重要方式，配置后，只允许白名单内的ip登录到服务器，拒绝白名单以外的ip。详细操作请参见配置ssh登录ip白名单。

• 开启双因子认证

  双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。

  在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。详细操作请参见双因子认证。

• 修改默认端口

  将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。修改端口的操作请参见。

• 设置安全组规则，限制攻击源ip访问您的服务端口
  

  建议设置对外开放的远程管理端口（如ssh、远程桌面登录），只允许固定的来源ip进行连接。

  您可以通过来限制攻击源ip访问您的服务端口。如果是远程登录端口，您可以只允许特定的ip地址远程登录到弹性云服务器。

  例：仅允许特定ip地址（例如，192.168.20.2）通过ssh协议访问linux操作系统的弹性云服务器的22端口，安全组规则如下所示：

  表1 仅允许特定ip地址远程连接云服务器

  方向	协议应用	端口	源地址
  入方向	ssh（22）	22	例如：192.168.20.2/32

• 设置安全强度高的口令

  和弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看并处理主机中的口令风险。