BWH VPS SSH 安全登录折腾小记

目前在用 BWH 的廉价 VPS,前几天把博客搬过去了。以前只做爱国工具,没怎么折腾,能用就行。

博客搬过去,得装模做样折腾一番,起码心里上觉得更安全了。手上只有 BWH 的廉价 VPS,还有一个更廉价的 Virmach 特价 KVM,买完就后悔,速度比 BWH 更慢。本文基于 BWH VPS(Centos 7 x86_64)和 iPhone SE(iOS11)环境完成。折腾了两个地方:一是将 SSH 改为使用密匙登录,并禁止账户密码登录;二是开启两步验证登录 VPS 控制面板(KiwiVM Control Panel)。

SSH 改为用密匙登陆

VPS 安装/初始化完,默认是账号+密码登陆+端口,改成密匙登陆更安全。当然,端口也不要用默认的 22,不过 BWH 初始化自动生成的端口就不是 22,所以改端口这步可以直接省略。如需要可以参考:

CentOS 7 修改 SSH 端口

一般 SSH 默认端口是 22,不安全。最好修改一下。 修改 /etc/ssh/sshd_config 文件 vi /etc/ssh/sshd_config 找到 #Port 22,去掉前面的 #,并...

用 root 登录后运行命令:

ssh-keygen -t rsa -b 4096

  • 会输入保存密匙文件路径,默认 /root/.ssh/id_rsa
  • 接着会提示输入加密密匙文件密码,可以留空,不过建议还是加个密码。再回车,密匙文件就生成完。文件保存在 /root/.ssh/ 目录下,id_rsa 为私钥,id_rsa.pub 为公钥。私钥自己下载到本地电脑妥善保存,公钥可以任意公开。
  • 可以使用 FlashFXP 通过 SFTP 方式或者 WinSCP 登录 VPS 下载私钥文件到本地,保存好记得把服务端私钥文件删除。

运行命令导入公钥:

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

接着修改 SSH 的配置文件 /etc/ssh/sshd_config,找到下面两行:

#RSAAuthentication yes
#PubkeyAuthentication yes

将前面的#去掉后保存。

运行命令:service sshd restart,重启 SSH 服务。

然后测试 SSH 能否通过刚才生成的私匙登录。免费的 Xshell 蛮好用的,下面是改为密匙登录的方法,可以参考一下。

如果有多个密匙,导入密匙后还需要选择对应的密匙。

设置好,如无意外 SSH 就可以使用密匙正常登录。确认密匙可以正常登录,就可以把使用账户密码登录方式关闭。

同样需要修改 SSH 配置文件 /etc/ssh/sshd_config,找到下面一行:

PasswordAuthentication yes

修改为:

PasswordAuthentication no

service sshd restart,重启 SSH 服务,测试是否无法使用密码登录。

收工。

参考:秋水逸冰 - SSH无密码登录及putty设置

开启两步验证

对于 BWH,SSH 改用密匙登录并禁用密码还不够,因为还可以通过自带的 KiwiVM Control Panel 轻易管理 VPS,甚至重装系统(Install new OS/Reload)。而 BWH 账户本身只需密码登录,没有两步验证之类的功能,只能通过开启两步验证登录 VPS 的 KiwiVM Control Panel 来加一道防护。

开启方法很简单,不过有一点小坑。登录 KiwiVM Control Panel,点 Two-factor authentication 进去功能设置,会有个温馨提示。

点 Continue 下一步。激活两步验证有三个步骤,一是安装两步验证 App,BWH 推荐 Google Authenticator;二是用 App 扫描二维码或者输入页面提示的账户密匙(KiwiVM account key);三是输入两步验证 App 生成的六位数字代码完成两步验证激活。

小坑:Google Authenticator 直接扫描二维码,会提示不是有效的两步验证信息。

开始以为是 Google Authenticator 不兼容 BWH 的两步验证,于是网上找了一番,换了个 2STP,这个可以备份账户信息到 iCloud,而 Google Authenticator 不可以,设备丢失了就麻烦了。安装好 2STP,再扫二维码,还是与 Google Authenticator 提示同样的信息。

只好试试手工输入账号(VPS IP 地址)和页面提示的账户密匙,保存,输入 App 生成的六位数字代码,两步验证激活成功。

两步验证激活成功会生成一个备份密匙,注意保管好。手机不在身边的时候可以用它代替两步验证码登录 VPS 控制面板。

还可以关联手机号码,万一设备丢失/系统崩溃、备份密匙丢失,可以通过短信找回备份密匙。多备条后路应该不会错吧?

输入备份密匙、手机号码,按提示操作即可。

至此两步验证激活完成。

后记:后来试着用微信扫一扫二维码,会显示一个空白页面,选择 Safari 打开,神奇的事情发生了,直接跳转到 2STP 提示是否添加两步验证账户,添加完也可以正常使用。

除非注明,沙唐桔文章均为原创,本文地址 https://cyhour.com/550/,转载时必须以链接形式注明原始出处。
声明:我们不销售主机,选主机需合法使用。任何主机需定期备份,防止数据丢失。信息以实际为准,评测仅供参考不代表权威!
🔞:Netflix 奈飞 YouTube 合租免费节点Telegram 频道

使用 rclone 将 Google Drive 文件同步至 OneDrive

前几天上了博友「灵尘居」的 Office 365 车,1T OneDrive 到手,手机照片一直喂 Google AI,挺方便的,以前还会同步一份到家里的垃圾西数 NAS,不过并不太自动,后来就懒得弄了。 Google 虽然是大厂,但是数据只有一份,还是怕怕,多一个备份不是坏事。苹果 iCloud 不错,但是贼贵,况且我只有一个…
浏览: 28 标签:  ,  ,  ,  , 

尼康 D7100 中文使用说明书 高清 PDF 电子版免费下载

尼康 D7100 说明书是一份介绍详细尼康 D7100 单反官方教程,推荐购买了 D7100 单反博友下载保存参考,以便随时查看一些常用按键操作和使用技巧。 尼康 D7100 简介 尼康 D7100 搭载先进的对象捕捉性能和成像性能,能够忠实还原拍摄细节。高密度的 51 点自动对焦系统准确捕捉目标对象并进行跟踪,…

全网热门公共 BitTorrent Tracker 列表合集 加速BT下载

BT 下载速度取决于其他下载同一资源的用户上传速度。做种「指上传文件数据给其他 BT 用户的行为」用户越多,你的下载速度越快!如果资源没人提供上传,就会完全没有下载速度,而做种用户靠 Peer、DHT、Tracker 获得。 Tracker 是什么? BT 下载的文件都是其他用户上传给你的。 BT 下载速度…

换域名?改固定链接?

去年底注册了个短域名,虽然非主流,但是胜在够短,两字母,还没有溢价。一直寻思着把它转移到 Cloudflare,换到博客使用,无奈 Google Adsense 一直没能折腾审核通过。 WordPress 修改固定链接? 以前听说 postname 更有利于 SEO,曾经试过人工翻译。后来嫌麻烦,干脆只用 /%post_id%/,后面 .…
浏览: 75 标签:  ,  ,  , 
浏览: 154 标签:  ,  ,  ,  , 

Comments:9

  1. 沙唐桔-Klose
    Klose

    在推特上看到有人说这个永久域名的事情,那次看到你很感兴趣,顺便来告诉你 32欧

    https://www.m247.ro/portal/cart.php?a=add&domain=register

    2017.09.23 09:51 # 回复
    1楼
    • @Klose 终身两百多,也不贵,不过这货有保障么?

      2017.09.23 10:50 # 回复
      • Klose

        @老杨 商家算个大公司,但是注册局本身的规则会不会改变就不太了解了,因为域名限期 10 年所以订单都是 10 年一续。
        如果是刚需就可以买一个,也不是很贵。

        2017.09.23 11:35 # 回复
    • @Klose 这么久了,还记得,好感动!谢谢。

      2017.09.23 10:51 # 回复
    • @Klose 很多都翻车了,因为注册局都都没看到活动了

      2017.09.24 12:27 # 回复
  2. 后半部分表示木有看懂内容,用证书登陆SSH确实比较安全,就是比较麻烦。

    2017.09.27 16:27 # 回复
    2楼
  3. 我还是不喜欢用证书。。。虽然证书安全。我都是开了个小用户,然后登陆用su切换,禁止root登陆。。关闭22端口

    2017.10.04 18:19 # 回复
    3楼

发表留言

Vultr 送$100,搬瓦工年付最低$49,优惠码 BWH3HYATVBJW,更多推荐VPS信息