恒訊科技講解：vps搭建教程（三）

今天，小編將接著昨天的分享，給大家講解vps搭建連接到安全外殼和為SSH使用身份驗(yàn)證密鑰的教程。

一、連接到安全外殼
假設(shè)現(xiàn)在有一個運(yùn)行新安裝的Linux操作系統(tǒng)和Virtualmin的遠(yuǎn)程服務(wù)器，并且您正在從本地 Windows PC 配置它，管理它的最佳方法是使用 PuTTY 連接到安全外殼 ( SSH )命令行和 WinSCP 用于文件傳輸。這通常比我們上面使用的托管公司控制臺或Webmin文件管理器更快、更方便——例如，它允許剪切和粘貼命令。在您的 Windows PC 上安裝并運(yùn)行 PuTTY 并將您的 VPS 的 IP 地址（托管公司會告訴您）放在“主機(jī)名（或 IP 地址）”的位置，將端口設(shè)置為 22 并選擇連接類型：SSH . 輸入您在上面選擇的管理員用戶名和密碼（或由您的主機(jī)提供給您），然后單擊打開按鈕。
第一次連接到新服務(wù)器時，您會看到服務(wù)器的主機(jī)密鑰未緩存的警告。單擊“是”保存密鑰并連接。出現(xiàn)提示時輸入您的管理員用戶名和密碼。
重新生成主機(jī)密鑰（如有必要）
如果您的操作系統(tǒng)是從標(biāo)準(zhǔn)托管公司映像安裝的，那么根 SSH 密鑰可能與它們托管的所有其他 VPS 相同，這是一個重大的安全風(fēng)險。如果有疑問，您可以隨時使用以下命令重新生成密鑰（這不會中斷現(xiàn)有的 SSH 會話）：
sudo /bin/rm -v /etc/ssh/ssh_host_*
sudo dpkg-reconfigure openssh-server

二、為 SSH 使用身份驗(yàn)證密鑰
身份驗(yàn)證密鑰比密碼安全得多，默認(rèn)情況下，在Ubuntu 上，這是以 root 用戶身份登錄的唯一方法，也是執(zhí)行無人值守備份的唯一方法，因此值得學(xué)習(xí)使用它們。
首先，使用Windows 上的PuTTYgen等程序?yàn)樽约荷梢粋€公鑰/私鑰對 。默認(rèn)的 RSA 密鑰類型不再被認(rèn)為是安全的 - 我建議 使用曲線Ed25519 (255 bits)選擇密鑰類型EdDSA。使用密碼保護(hù)私鑰是一種很好的做法，這應(yīng)該是令人難忘的。將私鑰復(fù)制到計(jì)算機(jī)上管理員或備份進(jìn)程將用于通過 SSH 登錄的位置，或復(fù)制到 U 盤。
然后將公鑰從 PuTTYgen 的頂部窗口復(fù)制到您的 VPS - 將其粘貼到 用戶主文件夾中名為 .ssh的文件夾內(nèi)的一個名為authorized_keys的文件中。此文件必須僅對您（管理員用戶）可見。您可以使用以下命令來創(chuàng)建具有必要權(quán)限的文件夾和文件：
cd ~
mkdir .ssh
chmod 0700 .ssh
cd .ssh
sudo nano authorized_keys
[右鍵單擊將您的公鑰粘貼到一行并使用 Ctrl+O 然后 Ctrl+X 保存]
chmod 0600 authorized_keys
不要向任何人透露私鑰！要使用PuTTY連接到我們的服務(wù)器，請?jiān)?PuTTY 的Connection > SSH > Auth configuration 屏幕中輸入帶有 .ppk 擴(kuò)展名的私鑰文件的地址。如果它正常工作，則在嘗試連接時不應(yīng)提示您輸入密碼，盡管您會在第一次收到有關(guān)成為無法識別主機(jī)的警告，您可以放心地忽略它。
要使用WinSCP連接到我們的服務(wù)器并以圖形方式管理文件，請單擊 New Session，選擇File Protocol: SCP，將您服務(wù)器的 IP 地址放入 Host name，輸入您的用戶名，將密碼字段留空并輸入地址在Advanced > SSH > Authentication > Private key file中擴(kuò)展名為 .ppk 的 私鑰文件。
如果我們有很多文件要為不同的用戶管理，有時以用戶“root”身份連接會更方便，方法是向文件/root/.ssh/authorized_keys添加密鑰。如果您這樣做，請非常小心不要損壞基本系統(tǒng)文件，并確保您更改的任何文件都?xì)w正確的用戶和組所有，而不是由 root 擁有。這很容易忘記，并可能導(dǎo)致各種奇怪的癥狀。
確定無需密碼即可成功登錄后，您可以轉(zhuǎn)到Webmin > 服務(wù)器 > SSH 服務(wù)器 > 身份驗(yàn)證并設(shè)置“允許通過密碼進(jìn)行身份驗(yàn)證？” 為“否”。
請注意，一些管理員將 SSH 服務(wù)器偵聽的端口從 22 更改為更高的端口，以減少黑客攻擊和相關(guān)的日志文件條目。我不再這樣做，因?yàn)樗皇且粋€臨時解決方案，最終根本不會提高安全性，而且實(shí)際上會使情況變得更糟——無論您使用哪個端口，端口掃描器最終都會找到。但是，我確實(shí)建議設(shè)置 fail2ban 以減少服務(wù)器負(fù)載。
請注意，如果您不喜歡“每日消息”中的廣告，您可以通過編輯/etc/default/motd-news并設(shè)置“ENABLED=0”來刪除它。我還刪除了 /etc/update-motd.d/10-help-text。
要通過 SSH 設(shè)置從 VPS 到另一臺服務(wù)器的自動備份（例如，使用rsync命令），您將在 VPS 本身上生成一個公鑰/私鑰對，使用如下命令，密碼為空。
ssh-keygen -t ed25519
公鑰通常保存在 /root/.ssh/id_ed25519.pub中，從中可以將其復(fù)制到遠(yuǎn)程服務(wù)器上的 authorized_keys 文件中。

以上就是vps搭建教程的第三部分，希望能幫助到大家！

審核編輯 黃昊宇