你刚把新服务器摆上架子,心里暗想:自己家里网速够不够快?别着急,先别把它暴露给全世界。先听我说千金不换的安全诀窍。
先说个大纲:把密码改成“手动防护模式”,把端口改成“看不到你不知道”,把管理台拖进“IP白名单馆”,再往后补上“多因素身份验证”复合体。每一步都比吃辣条还麻辣。
从搜索结果里挑十篇最靠谱的文档:腾讯云官方教学、CSDN的安全大神贴、Stack Overflow中文、B站热榜教程、GitHub上牛人分享、InfoQ中文站、知乎安全圈、IT钻研、技术社区 Q&A 以及 你在问我,我在想。每一篇都给我们下了几条金玉良言。
第一步,SSH 密钥。别再用那套传统的 “root+123456” 方案!先用 ssh-keygen 生成密钥对,放到服务器 ~/.ssh/authorized_keys; ssh -i 自己的私钥 root@IP. 记得把目录权限设为700,文件权限设为600。像贴在墙上的“大海捞针”一样,让别人看不见。#秘密武器
第二步,弱口令熔断。打开 /etc/ssh/sshd_config,找到 PasswordAuthentication yes 改成 no。之后再重启服务:systemctl restart sshd。这样就把所有密码登录给屏蔽,保留唯一通道。
第三步,端口非标准化。默认22端口太常用,三大杀手“硅谷指纹”,不如改成 2222 或 1984。修改 Port 2222,同时记得在安全组里打开对应端口。习惯了22,你再习惯2222,等你表情包被点个赞。
第四步,安全组与网络ACL双保险。腾讯云安全组像是一层“莫名其妙的保险”。在控制台新建规则:允许 TCP 2222 来自自家 IP(或公司 LAN)。再用网络 ACL 阻断其他所有入站。这样外部连不上,干扰者只能在路口打呼噜。
第五步,IP 白名单。腾讯云控制台里打开“网络与安全”->“白名单”页面,把自己常用的公网 IP 写进去。即使你被翻墙,伪装成匿名探索者,系统也只认准这几个来源。#保命围城
第六步,二次验证第二道防线。开启