很多极客在兴奋地买下人生第一台云服务器 (VPS) 后。收到了云主机商发来的一封包含着服务器公网 IP,默认账号名 root 和一串类似于 x8Vq@92b#P 这样复杂的密码的开通邮件。
大部分人的做法都是:直接去用类似于 PuTTY 或者是系统自带的终端 SSH 客户端。手敲进去这个烦人的复杂密码,登录进去之后再也不敢去管它。
但如果你去看一眼这台机器后台日志,你会惊悚极其恐惧地发现。即使机器上只是你刚刚新建立十分钟都没到根本没有人知道的系统,后台那名为 /var/log/auth.log (极高安防权限防区)里面已经疯狂密密麻麻充斥极其庞大且令人发紫的一页又一页红色记录:全世界被黑客拿下的自动化僵尸扫描肉鸡网络集群,正在使用那最极其老套古老的穷举字典手段(不断去尝试 admin/12345/root/root 等字符)在以几秒钟上千次的极高速度极其残忍地去撞击探测你本尊极高防区极其重要极其单薄大门的 22 号原生被暴露端口。
只要对方不巧蒙中了哪怕极其冷僻随机的一组你那个强口令数字组合,服务器在接下来的五秒内立刻就会彻底变成毫无隐私和底线的又一台极其巨大的黑客用来向全世界开火散发垃圾病毒信件的新一枚中继肉鸡主脑! 密码,在其网络极光世界面前极其不可靠极其脆弱虚无。在这个完全暴露在大旷野之中云服务领域。必须要请出的是这篇教案极其严密去封堵一切大门的绝对防御: 极其坚毁严苛单级密钥登录并完全拔除摧毁传统的原生弱口令识别防护系统。
RSA 公私极其绝对双钥匹配机制
它的极强原理如同打造一对世界上极其唯一也是极其绝不可能被目前极其庞大全物理计算手段破解穷极组合的锁与钥匙。(即便动用极度高深的最尖端量子里论去全全极其穷举也需要百亿极其庞大甚至可以说超极其宇宙年时间)
这套极强极其霸道手段要求你在自己极其私密的这台本地苹果极简工作电脑终端敲下这段极其著名的造锁与打钥匙终极密令开端。
# 在你现在的极其私密极其专属的私有本地超级主力管理电脑上(绝不是你的 VPS 云端服务器上)
ssh-keygen -t rsa -b 4096 -C "my-super-vps-key"这极其轻快且短促的代码在极速的运行期间。它在你的极其绝密且外人绝不可能触碰的本地 ~/.ssh/ 的极其幽暗目录下产下了一对极其双生的奇迹极其绝对安全的文件结晶体:
一个名叫 id_rsa_pub (极强之公锁,可以大方极其骄傲展示和随便传出去给任何人的极度锁胚)
一个名为 id_rsa (极其核心无以伦比甚至可以说是不可直视你一旦泄露给别人就形同完全缴械全盘极其机密极其隐私的究极极至私有万能钥)。
极高压环境传导与封死退路的极高安防手术
这极具手术性质精确的一步,便是把那个不怕被人看的 公锁,极其远距的飞跃到你云端的极其重要大机器上去替它安在极其核心门框上!可以使用这个极其古老自动化帮手的命令。
ssh-copy-id -i ~/.ssh/id_rsa.pub root@你的VPS_IP当完成极其顺滑极其不可思议第一次传导安装。未来你再去尝试在这台主力工作级绝密电脑极其舒爽极其慵懒极速的敲入极强的极其短促 ssh root@你的VPS_IP 时,奇幻至极极度顺滑的事情在这极小甚至毫无察觉极其毫秒发生!极强极其高冷的极其远端超大服务器服务器直接在云端向你电脑伸展过来一长极其不可破密的验算题,你在那深藏暗箱极其黑暗的极长极密私有绝对密钥在全无感知默默替你在零极其零点几毫秒交上了对它的正确验算答案交卷。极其巨伟的一瞬! 大门极致豁然直接开朗极大畅通打开。极其无需手动再去输入极具机械极具枯燥弱智繁杂枯长完全没有体验感的字母密码!极其伟大无缝的极其极客极致体验。
最极其最后极其杀手锏和也是极其防患于未极其末日极其绝对果决地步骤!在你云端极其强大机器斩断极其万古古老所有所有原生老路退路!这让极其在外徘徊尝试去暴力探测的黑暗大流量集团从此被直接踢出系统甚至极其冷漠剥夺连极其输入他们准备几十个字典极大字符猜解弱智密码的门铃接口和框都不再留给他们。
登录进去极高远的 VPS。编辑极高绝密的安防内核:/etc/ssh/sshd_config 文件极其隐秘内部配置中找到这非常显眼极其代表大门配置这极强控制枢纽并将其绝对狠厉设其极其否定极具极其极寒其严:
PasswordAuthentication no # 极致严厉剥夺!将其极度更改并极其设置极其不开启任何密码的进入权限,极只留无上极其极高钥特权开启!运行起其 systemctl restart sshd。
极乐!极度的超极其坚实。自极其这刻这伟大的重新拉闸而其这重新而起的启动以后。你的这极其单薄小鸡如披强光装甲一般坚实地极高矗立在这个极其暗藏网络攻击大洪水极其汹涌危险和布满暗黑刺客到处尝试开荒偷取弱智密码大极乱大世界!除了那把握在您自己的极其绝密核心硬盘的独一独无唯一极尊钥匙。没有任何力量能极去撼去分毫!这就是走向去玩转及其极度宽泛宏达的大服务器体系之必备极高安安全认知第一堂极高门极其门级进阶入门极其基石大课!