企业主机安全（旧版）HSS-如何预防帐户暴力破解攻击？:预防措施

时间：2024-10-11 10:24:34

企业主机安全（旧版）HSS 帐户暴力破解问题

在企业主机安全已有的防护能力基础之上，可以从安全产品、应用、网络防护层面出发，做到全方位预防暴力破解。

安全产品层面
- 开启云堡垒机
  可对主机资源、应用服务器进行统一纳管，提供登录认证、资源管理、会话审计等功能。云堡垒机功能特性详情请参见功能特性。快速使用详情请参见快速入门。
  
  开启云堡垒机后，入侵、破解将优先被云堡垒机监测拦截告警，与HSS形成双重防护。
应用层面
- 使用SSH KEY登录
  为主机资源、应用服务器开启SSH KEY密钥登录，在每次登录时要求公钥和私钥必须相匹配才可登录成功。创建密钥对详情请参见创建密钥对。
- 开启双因子认证
  双因子认证功能是一种双因素身份验证机制，结合短信/邮箱、登录验证码，对云服务器登录行为进行二次身份认证。
  
  在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。详细操作请参见双因子认证。

网络层面

配置SSH登录白名单
SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，在开启密钥登录的基础之上只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单。
修改默认端口
将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。详细操作请参见怎样修改远程登录的端口？。

设置安全组规则，限制攻击源IP访问您的服务端口