SFTP配置中如何防止暴力破解

防止SFTP暴力破解可从以下方面配置：

1. 使用Fail2Ban：监控日志，对多次登录失败的IP进行封禁。
   • 安装：sudo apt-get install fail2ban（Debian）或 sudo yum install fail2ban（CentOS）。
   • 配置：编辑 /etc/fail2ban/jail.local，设置 maxretry（最大尝试次数）、bantime（封禁时间）等参数。
2. 启用SSH密钥认证：禁用密码登录，使用公钥/私钥对认证。
   • 生成密钥对：ssh-keygen -t rsa -b 4096，将公钥复制到服务器 ~/.ssh/authorized_keys。
   • 修改配置：/etc/ssh/sshd_config 中设置 PasswordAuthentication no、PubkeyAuthentication yes。
3. 限制登录尝试次数：通过PAM模块或SSH配置限制失败次数。
   • 编辑 /etc/pam.d/sshd，添加 auth required pam_tally2.so deny=3 unlock_time=600。
   • 或在 sshd_config 中设置 MaxAuthTries 3。
4. 防火墙限制：限制SSH端口（默认22）的访问频率，仅允许可信IP。
   • 使用 iptables 或 ufw 设置规则，例如限制60秒内超过3次连接则丢弃。
5. 其他措施：
   • 禁用root登录：PermitRootLogin no。
   • 修改默认端口：降低被扫描风险。
   • 定期更新系统：修复安全漏洞。

以上措施可组合使用，显著提升SFTP安全性。