Linux 上最常用的用户名和密码

如果打开 VPS 的 ssh 登录日志(/var/log/secure)就一定会发现有无数无聊的人无数次的试探 ssh 密码,对付这种 brute force 密码探测,用一个特殊字符、大小写字母加数字混合的无规律12位密码就能搞定,所以对安全很在意的用户不用太担心自己 VPS 被黑,用一个好密码就基本可以解决这类问题。VPSee 最近常遇到客户被自己 iptables 或错误的 sshd 配置锁在外面的事情,比如有客户用了很复杂的 ssh 配置文件,加上一些辅助工具比如 fail2ban, sshdfilter 等,并且用 iptables 来过滤,把一个很简单的事情搞得很复杂,结果不小心把自己锁在外面了。注重安全性是好的,太过就不必了,简单就好。安全是一大块,甚至是一个大的研究方向,非常复杂,需要综合考虑,真正容易出问题的地方在应用,比如 PHP 程序、WordPress 插件等,比如上次 “备份 WordPress 博客到 Dropbox” 的一个 WordPress 插件就有安全问题。所以应该多花精力在应用程序的安全性上,应用的安全性问题最多,黑客也多是从应用下手的。

Dragon Research Group 发布了一个 Linux/SSH 密码认证的报告, 统计了一些最常用的 Linux/SSH 用户名和密码,下图截取自 DRG SSH Username and Password Authentication Tag Clouds,看看有没有自己常用的密码,有的话赶快换吧。

most popular usernames

most popular passwords

如果对 ssh 还不放心的话可以采用下面几个简单做法来进一步增强 ssh 的安全性,不过要记住的是下面的技巧不能替代一个好的密码:

  • 修改和配置 DenyUsers, AllowUsers, DenyGroups, AllowGroups 只允许相关人员登录 ssh;
  • 生成 public/private key,修改 AuthorizedKeysFile,采用 ssh key 的方式登录 ssh;
  • 禁止 PasswordAuthentication no;
  • 禁止 root 直接登录,PermitRootLogin no;
  • 修改 ssh 的默认端口 22 为其他数字(比如 2012)。

评论 (4 Comments)

  1. 我的密码确实是123,主要是用的次数太多,这样方便

  2. 靠 2012这个端口你也喜欢用
    看来我不能用了

  3. 呵呵,来自 2012 这部电影~~

  4. 哎,為了安全要把人腦子給點着了。人自作孽呀……

发表评论