恆訊科技講解:vps搭建教程(三)

恆訊科技發表於2022-10-25

今天,小編將接著昨天的分享,給大家講解vps搭建連線到安全外殼和為SSH使用身份驗證金鑰的教程。


一、連線到安全外殼

假設現在有一個執行新安裝的Linux作業系統和Virtualmin的遠端伺服器,並且您正在從本地 Windows PC 配置它,管理它的

最佳方法是使用 PuTTY 連線到安全外殼 ( SSH )命令列和 WinSCP 用於檔案傳輸。這通常比我們上面使用的託管公司控制檯

或Webmin檔案管理器更快、更方便——例如,它允許剪下和貼上命令。在您的 Windows PC 上安裝並執行 PuTTY 並將您的

 VPS 的 IP 地址(託管公司會告訴您)放在“主機名(或 IP 地址)”的位置,將埠設定為 22 並選擇連線型別:SSH . 輸入

您在上面選擇的管理員使用者名稱和密碼(或由您的主機提供給您),然後單擊開啟按鈕。

第一次連線到新伺服器時,您會看到伺服器的主機金鑰未快取的警告。單擊“是”儲存金鑰並連線。出現提示時輸入您的管理

員使用者名稱和密碼。

重新生成主機金鑰(如有必要)

如果您的作業系統是從標準託管公司映像安裝的,那麼根 SSH 金鑰可能與它們託管的所有其他 VPS 相同,這是一個重大的安

全風險。如果有疑問,您可以隨時使用以下命令重新生成金鑰(這不會中斷現有的 SSH 會話):

sudo /bin/rm -v /etc/ssh/ssh_host_*

sudo dpkg-reconfigure openssh-server


二、為 SSH 使用身份驗證金鑰

身份驗證金鑰比密碼安全得多,預設情況下,在Ubuntu 上,這是以 root 使用者身份登入的唯一方法,也是執行無人值守備份的

唯一方法,因此值得學習使用它們。

首先,使用Windows 上的PuTTYgen等程式為自己生成一個公鑰/私鑰對 。預設的 RSA 金鑰型別不再被認為是安全的 - 我建

議 使用曲線Ed25519 (255 bits)選擇金鑰型別EdDSA。使用密碼保護私鑰是一種很好的做法,這應該是令人難忘的。將私鑰

複製到計算機上管理員或備份程式將用於透過 SSH 登入的位置,或複製到 U 盤。

然後將公鑰從 PuTTYgen 的頂部視窗複製到您的 VPS - 將其貼上到  使用者主資料夾中名為 .ssh的資料夾內的一個名為

authorized_keys的檔案中。此檔案必須僅對您(管理員使用者)可見。您可以使用以下命令來建立具有必要許可權的資料夾和

檔案:

cd ~

mkdir .ssh

chmod 0700 .ssh

cd .ssh

sudo nano authorized_keys

[右鍵單擊將您的公鑰貼上到一行並使用 Ctrl+O 然後 Ctrl+X 儲存]

chmod 0600 authorized_keys

不要向任何人透露私鑰!要使用PuTTY連線到我們的伺服器,請在 PuTTY 的Connection > SSH > Auth configuration 螢幕

中輸入帶有 .ppk 副檔名的私鑰檔案的地址。如果它正常工作,則在嘗試連線時不應提示您輸入密碼,儘管您會在第一次收到

有關成為無法識別主機的警告,您可以放心地忽略它。

要使用WinSCP連線到我們的伺服器並以圖形方式管理檔案,請單擊 New Session,選擇File Protocol: SCP,將您伺服器的 

IP 地址放入 Host name,輸入您的使用者名稱,將密碼欄位留空並輸入地址在Advanced > SSH > Authentication > 

Private key file中副檔名為 .ppk 的 私鑰檔案。

如果我們有很多檔案要為不同的使用者管理,有時以使用者“root”身份連線會更方便,方法是向檔案/root/.ssh/authorized_keys新增金鑰。如果您這樣做,請非常小心不要損壞基本系統檔案,並確保您更改的任何檔案都歸正確的使用者和組所有,而不是由 root 擁有。這很容易忘記,並可能導致各種奇怪的症狀。

確定無需密碼即可成功登入後,您可以轉到Webmin > 伺服器 > SSH 伺服器 > 身份驗證並設定“允許透過密碼進行身份驗

證?” 為“否”。

請注意,一些管理員將 SSH 伺服器偵聽的埠從 22 更改為更高的埠,以減少駭客攻擊和相關的日誌檔案條目。我不再這

樣做,因為它只是一個臨時解決方案,最終根本不會提高安全性,而且實際上會使情況變得更糟——無論您使用哪個埠,

埠掃描器最終都會找到。但是,我確實建議設定 fail2ban 以減少伺服器負載。

請注意,如果您不喜歡“每日訊息”中的廣告,您可以透過編輯/etc/default/motd-news並設定“ENABLED=0”來刪除它。

我還刪除了 /etc/update-motd.d/10-help-text。

要透過 SSH 設定從 VPS 到另一臺伺服器的自動備份(例如,使用rsync命令),您將在 VPS 本身上生成一個公鑰/私鑰對,

使用如下命令,密碼為空。

ssh-keygen -t ed25519

公鑰通常儲存在 /root/.ssh/id_ed25519.pub中,從中可以將其複製到遠端伺服器上的 authorized_keys 檔案中。 


以上就是vps搭建教程的第三部分,希望能幫助到大家!


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69983369/viewspace-2920248/,如需轉載,請註明出處,否則將追究法律責任。

相關文章