恒訊科技講解：vps搭建教程（三）

今天，小編將接著昨天的分享，給大家講解vps搭建連接到安全外殼和為SSH使用身份驗(yàn)證密鑰的教程。

一、連接到安全外殼
假設(shè)現(xiàn)在有一個(gè)運(yùn)行新安裝的Linux操作系統(tǒng)和Virtualmin的遠(yuǎn)程服務(wù)器，并且您正在從本地 Windows PC 配置它，管理它的最佳方法是使用 PuTTY 連接到安全外殼 ( SSH )命令行和 WinSCP 用于文件傳輸。這通常比我們上面使用的托管公司控制臺(tái)或Webmin文件管理器更快、更方便——例如，它允許剪切和粘貼命令。在您的 Windows PC 上安裝并運(yùn)行 PuTTY 并將您的 VPS 的 IP 地址（托管公司會(huì)告訴您）放在“主機(jī)名（或 IP 地址）”的位置，將端口設(shè)置為 22 并選擇連接類(lèi)型：SSH . 輸入您在上面選擇的管理員用戶名和密碼（或由您的主機(jī)提供給您），然后單擊打開(kāi)按鈕。
第一次連接到新服務(wù)器時(shí)，您會(huì)看到服務(wù)器的主機(jī)密鑰未緩存的警告。單擊“是”保存密鑰并連接。出現(xiàn)提示時(shí)輸入您的管理員用戶名和密碼。
重新生成主機(jī)密鑰（如有必要）
如果您的操作系統(tǒng)是從標(biāo)準(zhǔn)托管公司映像安裝的，那么根 SSH 密鑰可能與它們托管的所有其他 VPS 相同，這是一個(gè)重大的安全風(fēng)險(xiǎn)。如果有疑問(wèn)，您可以隨時(shí)使用以下命令重新生成密鑰（這不會(huì)中斷現(xiàn)有的 SSH 會(huì)話）：
sudo /bin/rm -v /etc/ssh/ssh_host_*
sudo dpkg-reconfigure openssh-server

二、為 SSH 使用身份驗(yàn)證密鑰
身份驗(yàn)證密鑰比密碼安全得多，默認(rèn)情況下，在Ubuntu 上，這是以 root 用戶身份登錄的唯一方法，也是執(zhí)行無(wú)人值守備份的唯一方法，因此值得學(xué)習(xí)使用它們。
首先，使用Windows 上的PuTTYgen等程序?yàn)樽约荷梢粋€(gè)公鑰/私鑰對(duì) 。默認(rèn)的 RSA 密鑰類(lèi)型不再被認(rèn)為是安全的 - 我建議 使用曲線Ed25519 (255 bits)選擇密鑰類(lèi)型EdDSA。使用密碼保護(hù)私鑰是一種很好的做法，這應(yīng)該是令人難忘的。將私鑰復(fù)制到計(jì)算機(jī)上管理員或備份進(jìn)程將用于通過(guò) SSH 登錄的位置，或復(fù)制到 U 盤(pán)。
然后將公鑰從 PuTTYgen 的頂部窗口復(fù)制到您的 VPS - 將其粘貼到 用戶主文件夾中名為 .ssh的文件夾內(nèi)的一個(gè)名為authorized_keys的文件中。此文件必須僅對(duì)您（管理員用戶）可見(jiàn)。您可以使用以下命令來(lái)創(chuàng)建具有必要權(quán)限的文件夾和文件：
cd ~
mkdir .ssh
chmod 0700 .ssh
cd .ssh
sudo nano authorized_keys
[右鍵單擊將您的公鑰粘貼到一行并使用 Ctrl+O 然后 Ctrl+X 保存]
chmod 0600 authorized_keys
不要向任何人透露私鑰！要使用PuTTY連接到我們的服務(wù)器，請(qǐng)?jiān)?PuTTY 的Connection > SSH > Auth configuration 屏幕中輸入帶有 .ppk 擴(kuò)展名的私鑰文件的地址。如果它正常工作，則在嘗試連接時(shí)不應(yīng)提示您輸入密碼，盡管您會(huì)在第一次收到有關(guān)成為無(wú)法識(shí)別主機(jī)的警告，您可以放心地忽略它。
要使用WinSCP連接到我們的服務(wù)器并以圖形方式管理文件，請(qǐng)單擊 New Session，選擇File Protocol: SCP，將您服務(wù)器的 IP 地址放入 Host name，輸入您的用戶名，將密碼字段留空并輸入地址在Advanced > SSH > Authentication > Private key file中擴(kuò)展名為 .ppk 的 私鑰文件。
如果我們有很多文件要為不同的用戶管理，有時(shí)以用戶“root”身份連接會(huì)更方便，方法是向文件/root/.ssh/authorized_keys添加密鑰。如果您這樣做，請(qǐng)非常小心不要損壞基本系統(tǒng)文件，并確保您更改的任何文件都?xì)w正確的用戶和組所有，而不是由 root 擁有。這很容易忘記，并可能導(dǎo)致各種奇怪的癥狀。
確定無(wú)需密碼即可成功登錄后，您可以轉(zhuǎn)到Webmin > 服務(wù)器 > SSH 服務(wù)器 > 身份驗(yàn)證并設(shè)置“允許通過(guò)密碼進(jìn)行身份驗(yàn)證？” 為“否”。
請(qǐng)注意，一些管理員將 SSH 服務(wù)器偵聽(tīng)的端口從 22 更改為更高的端口，以減少黑客攻擊和相關(guān)的日志文件條目。我不再這樣做，因?yàn)樗皇且粋€(gè)臨時(shí)解決方案，最終根本不會(huì)提高安全性，而且實(shí)際上會(huì)使情況變得更糟——無(wú)論您使用哪個(gè)端口，端口掃描器最終都會(huì)找到。但是，我確實(shí)建議設(shè)置 fail2ban 以減少服務(wù)器負(fù)載。
請(qǐng)注意，如果您不喜歡“每日消息”中的廣告，您可以通過(guò)編輯/etc/default/motd-news并設(shè)置“ENABLED=0”來(lái)刪除它。我還刪除了 /etc/update-motd.d/10-help-text。
要通過(guò) SSH 設(shè)置從 VPS 到另一臺(tái)服務(wù)器的自動(dòng)備份（例如，使用rsync命令），您將在 VPS 本身上生成一個(gè)公鑰/私鑰對(duì)，使用如下命令，密碼為空。
ssh-keygen -t ed25519
公鑰通常保存在 /root/.ssh/id_ed25519.pub中，從中可以將其復(fù)制到遠(yuǎn)程服務(wù)器上的 authorized_keys 文件中。

以上就是vps搭建教程的第三部分，希望能幫助到大家！

審核編輯 黃昊宇