勒索軟件橫行，是該用key登陸ssh了！

5月12日晚，WanaCrypt0r 2.0勒索軟件在全球爆發（簡稱 WCry2.0），Wcry2.0利用4月份nsa泄露的安全漏洞對windows係統進行攻擊，從而植入勒索軟件，據統計全球上百個國家的13萬多台電腦遭到感染，其中不乏大型企業，醫院及各種公共服務行業，帶來了巨大的惡意影響。

漏洞、文件加密型的勒索軟件、比特幣付費解密的完美組合，已成為網絡攻擊敲詐勒索的最佳實踐。我們看到近年來不斷出現利用各種服務漏洞和不安全配置進行勒索敲詐的案例，如大量裸奔在互聯網的hadoop、mongodb、elasticsearch等服務的不安全配置及弱口令導致的勒索。

同樣linux ssh服務也麵臨以上的風險，據國外媒體報道，一台在互聯網運行的linux係統開啟ssh服務10秒內，就會出現對ssh的口令破解攻擊，由此可見攻擊者通過自動化的方式不斷去掃描整個互聯網尋找攻擊目標，ssh用戶口令破解也因為攻擊手段簡單、粗暴，技術門檻低成為最常見的攻擊方式。ssh做為linux係統最最主要的遠程管理工具，一旦成功破解係統用戶密碼，尤其是root用戶，就會獲得係統的最高權限，除了可以通過勒索軟件用來實施勒索外，係統也可能被安裝後門、木馬等惡意軟件，成為僵屍主機。

如果您還在使用密碼登陸ecs實例的ssh服務，除了通過安全組設置嚴格的ssh服務登陸源地址外，強烈建議改用SSH密鑰對 登陸ecs實例，禁用密碼方式登陸。SSH密鑰對利用高強度的公私鑰及對稱加密算法實現對用戶的認證，有效降低了破解用戶口令的攻擊。

阿裏雲ecs產品SSH密鑰對功能除了幫助用戶有效降低密碼攻擊外，還為用戶帶來極佳的SSH密鑰對管理功能，不僅實現了對key統一的管理，降低key管理的複雜度，更能在每台實例啟動時自動部署SSH密鑰對，減輕後期SSH密鑰對的分發、部署工作，阿裏雲會繼續完善及改進產品功能及體驗，協助用戶構建更加安全的運維管理體係。

關於SSH密鑰對的產品詳情見：https://help.aliyun.com/document_detail/51792.html