在保护您的虚拟私有服务器(VPS)时,安全外壳协议(SSH)访问是最关键的入口点。仅仅依靠基于密码的SSH认证存在严重的安全漏洞;暴力破解攻击和泄露的密码构成了持续的威胁。作为 VPS托管领域的网络安全专家,我们强烈建议实施 SSH密钥认证这种强大的方法能极大地增强您的 VPS安全使未经授权的用户几乎不可能获得访问权限。
为何SSH密钥优于密码: SSH密钥认证使用一对加密密钥:一个公钥(public key)和一个私钥(private key)。 公钥 and a 私钥.
- 这 公钥 存储在您的VPS上通常
(在 ~/.ssh/authorized_keys 目录下),目录下,用于您的用户)。它可以自由共享。 - 这 私钥 安全地保存在您的本地机器上。它 。 不能共享,并且应该用一个强大的密码短语(passphrase)来保护。
当您尝试连接时,您的客户端使用您的私钥生成一个签名,VPS可以使用其存储的公钥来验证该签名。这种握手过程比通过网络发送密码要安全得多。
生成您的SSH密钥对(在您的本地机器上): 在您的终端中使用 ssh-keygen 命令: ssh-keygen -t rsa -b 4096
-t rsa:指定RSA算法。-b 4096:创建4096位密钥,这非常安全。
您将被提示保存密钥对(默认私钥为 ~/.ssh/id_rsa 公钥为 ~/.ssh/id_rsa.pub 并输入一个强大的密码短语。 始终为您的私钥使用强大的密码短语。 这将加密您的私钥,在您的本地机器被攻破时增加一层额外的安全保障。
将您的公钥复制到您的VPS: 最简单、最安全的方法是使用 ssh-copy-id: ssh-copy-id username@your_vps_ip
将 username 替换为您的VPS用户名(例如, root 或您的非root用户)将 your_vps_ip 替换为您的VPS IP地址。此命令会安全地将您的公钥复制到VPS上的正确位置并设置正确的权限。
如果 ssh-copy-id 不可用,您可以手动将 id_rsa.pub 文件的内容复制到您的VPS:
cat ~/.ssh/id_rsa.pub在您的本地机器上运行,以显示您的公钥。- 使用密码登录您的VPS:
ssh username@your_vps_ip - 如果
.ssh目录不存在,则创建它:mkdir -p ~/.ssh - 为该目录设置正确的权限:
chmod 700 ~/.ssh - 将您的公钥追加到
authorized_keys文件中添加一个重定向规则:echo "YOUR_PUBLIC_KEY_STRING_HERE" >> ~/.ssh/authorized_keys - 为该文件设置正确的权限:
chmod 600 ~/.ssh/authorized_keys
禁用密码认证(一旦SSH密钥登录验证成功): 至关重要的是,在禁用密码认证之前,请务必确认您可以使用SSH密钥登录。 如果您将自己锁在外面,可能需要使用您的VPS提供商的控制面板救援模式。
- 打开SSH守护进程配置文件:
sudo nano /etc/ssh/sshd_config - 找到
PasswordAuthentication yes这一行并将其更改为PasswordAuthentication no. - 找到
PermitRootLogin yes这一行,并考虑将其更改为PermitRootLogin no(并依赖具有sudo并使用 sudo). - 保存文件并重启SSH服务:
sudo systemctl restart sshd(或sudo service ssh restart在旧系统上)。
实施SSH密钥认证是保护您的 VPS托管 环境的基本步骤,为未经授权的访问提供了强大的屏障,并为您的数字资产提供了安心。
