提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
Linux 
安全 
管理如何登录您的服务器或账户:SSH、控制面板及安全访问方法
服务器身份验证是验证您的身份以获得对远程系统、托管控制面板或在线服务的授权访问的过程。三种主要方法是基于密码的 SSH、SSH 密钥对身份验证和基于 Web 的控制面板登录——每种方法都有不同的安全特性、使用场景和故障模式,每位管理员都必须了解。
无论您管理单个 VPS 托管实例还是一批裸金属服务器,掌握这些登录方法将直接决定您的运营安全态势。本指南深入介绍每种方法,包括每种方法背后的技术原理、文档中鲜少提及的实际陷阱,以及您可以立即应用的加固清单。
SSH 登录:密码身份验证与基于密钥的身份验证
SSH(安全外壳协议,RFC 4253)默认通过 TCP 端口 22 在您的客户端和远程服务器之间建立加密隧道。在选择身份验证方法之前,请了解每种方法实际上能防御什么。
任何 SSH 会话的前提条件
- 运行 `sshd` 且端口 22(或自定义端口)可访问的远程服务器
- SSH 客户端:Linux/macOS 上的原生 `ssh`、OpenSSH for Windows(内置于 Windows 10/11),或适用于旧版 Windows 环境的 PuTTY
- 有效凭据:用户名/密码对或已配置的密钥对
使用用户名和密码登录
打开终端并运行:
“`bash
ssh username@server_ip_address
“`
将 `username` 替换为您的系统账户名,将 `server_ip_address` 替换为服务器的 IPv4、IPv6 或完全限定域名(FQDN)。
“`bash
ssh deploy@203.0.113.45
“`
如果服务器在非标准端口上运行 SSH(一种常见的加固做法):
“`bash
ssh -p 2222 deploy@203.0.113.45
“`
底层原理:客户端和服务器协商密码套件(例如 `chacha20-poly1305` 或 `aes256-gcm`),交换临时 Diffie-Hellman 密钥,然后才传输您的密码——经过加密。密码本身不会以明文形式传输。
关键陷阱:首次连接到新服务器时,SSH 会显示主机密钥指纹并要求您确认。切勿盲目输入 `yes`。请通过您的托管服务商控制台或可信的带外渠道验证指纹。接受伪造的指纹是中间人攻击的入口。
使用 SSH 密钥对登录
SSH 密钥身份验证用加密挑战替代密码。服务器持有您的公钥;您持有私钥。只有当您的客户端能够证明持有私钥而无需传输私钥时,身份验证才会成功。
第一步——生成密钥对:
“`bash
ssh-keygen -t ed25519 -C "your_email@example.com"
“`
对于新部署,优先选择 Ed25519 而非 RSA-4096。Ed25519 密钥更短、验证更快,并提供同等或更高的安全性。仅当远程系统不支持 Ed25519 时(在现代发行版上很少见)才使用 RSA-4096。
“`bash
RSA fallback for legacy systems
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
“`
将密钥保存到默认路径(`~/.ssh/id_ed25519`)并设置强密码短语。密码短语对磁盘上的私钥进行加密——如果您的工作站遭到入侵,攻击者在没有密码短语的情况下仍然无法使用加密密钥。
第二步——将公钥部署到服务器:
“`bash
ssh-copy-id -i ~/.ssh/id_ed25519.pub username@server_ip_address
“`
这会将您的公钥以正确权限(`600`)追加到服务器上的 `~/.ssh/authorized_keys`。如果 `ssh-copy-id` 不可用:
“`bash
cat ~/.ssh/id_ed25519.pub | ssh username@server_ip_address
"mkdir -p ~/.ssh && chmod 700 ~/.ssh &&
cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"
“`
第三步——连接:
“`bash
ssh username@server_ip_address
“`
不会出现密码提示。如果您设置了密码短语,本地 SSH 代理可以缓存它:
“`bash
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519
“`
边缘情况——多个密钥:使用 `~/.ssh/config` 将特定密钥分配给特定主机,避免服务器在多次尝试后拒绝错误密钥导致的身份验证失败:
“`
Host prod-server
HostName 203.0.113.45
User deploy
IdentityFile ~/.ssh/id_ed25519_prod
Port 2222
“`
SSH 密码与密钥身份验证:直接比较
| 属性 | 密码身份验证 | SSH 密钥身份验证 |
|---|---|---|
| — | — | — |
| 暴力破解抵抗力 | 低——易受自动化攻击 | 极高——暴力破解在计算上不可行 |
| 凭据暴露风险 | 如果密码被重复使用或过于简单则风险高 | 极低——私钥永远不会离开客户端 |
| 自动化兼容性 | 差——需要交互式输入 | 优秀——支持非交互式脚本和 CI/CD |
| 设置复杂度 | 无 | 低——一次性密钥生成和部署 |
| 丢失后的恢复 | 通过服务商重置密码 | 必须预先配置备用密钥或控制台访问 |
| 推荐用于生产环境 | 否 | 是 |
| 2FA 兼容性 | 是 | 是(配合 `AuthenticationMethods publickey,keyboard-interactive`) |
对于任何生产独立服务器环境,在部署密钥后完全禁用密码身份验证:
“`bash
/etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin prohibit-password
“`
重新加载守护进程:`systemctl reload sshd`
登录基于 Web 的控制面板
基于 Web 的控制面板——cPanel、Plesk、DirectAdmin、Webmin 以及自定义服务商控制台——通过浏览器界面提供服务器管理功能。它们是无需直接 Shell 访问即可管理托管服务的用户的主要界面。
标准登录流程
- 打开浏览器并导航到控制面板 URL。常见默认地址:
- cPanel:`https://yourdomain.com:2083`(SSL)或 `http://yourdomain.com:2082`
- Plesk:`https://yourdomain.com:8443`
- Webmin:`https://yourdomain.com:10000`
- DirectAdmin:`https://yourdomain.com:2222`
- 输入您的托管服务商提供的或在服务器配置期间设置的用户名和密码。
- 如果启用了双因素身份验证(2FA),请输入验证器应用(Google Authenticator、Aegis 或 Authy)中的 TOTP 代码。
控制面板上的双因素身份验证
2FA 添加了一个基于时间的一次性密码(TOTP)层,使被盗凭据失效。即使攻击者通过网络钓鱼活动或凭据数据库泄露获取了您的 cPanel 密码,他们也无法在没有轮换 6 位代码的情况下登录。
在 cPanel 中设置:
- 导航到安全 > 双因素身份验证
- 使用您的验证器应用扫描 QR 码
- 使用测试代码验证并将备用代码保存在安全位置(密码管理器,而非便利贴)
关键操作说明:将备用代码离线存储。如果您无法访问验证器设备且没有备用代码,恢复需要联系您的托管服务商并完成身份验证——这一过程在事故期间可能需要数小时。
如果您使用带 cPanel 的 VPS,请确保在 WHM 级别对所有经销商和用户账户强制执行 2FA,而不仅仅是 root 管理员。
控制面板访问的浏览器安全
- 始终验证 HTTPS 锁形图标,并确认证书的通用名称与您的域名匹配。控制面板上有效的 SSL 证书可防止在不受信任的网络上拦截凭据。
- 避免在没有 VPN 的情况下通过公共 Wi-Fi 登录控制面板。
- 使用专用浏览器配置文件或隐私浏览会话进行管理员登录,以防止扩展程序导致会话令牌泄露。
登录在线账户和电子邮件服务
对于基于 Web 的服务——电子邮件平台、云控制台、账单门户——身份验证流程已标准化,但安全影响差异显著。
标准 Web 登录流程
- 导航到服务的登录页面(将其加入书签——切勿点击电子邮件中的登录页面链接)
- 输入您的用户名、电子邮件地址或账户标识符
- 输入您的密码
- 完成任何 2FA 挑战(TOTP、硬件密钥或 SMS——按安全性从高到低排列)
对于使用电子邮件托管服务的组织,确保 Webmail 访问(Roundcube、Horde、SquirrelMail)仅通过 HTTPS 提供,并且账户在服务器级别强制执行强密码策略。
密码卫生:「强」密码的真正含义
由密码管理器生成的随机 20 字符字符串在本质上比任何人类可记忆的密码都要强。NIST SP 800-63B 指南(2024 年更新)明确建议:
- 长度优于复杂性:20 字符的随机密码短语能够抵御在数分钟内破解复杂但短小密码的暴力破解攻击
- 除非怀疑遭到入侵,否则无需强制定期轮换——强制轮换会导致可预测的模式(`Password1!` → `Password2!`)
- 对照泄露数据库检查:HaveIBeenPwned 等服务维护着数十亿个已泄露密码的列表;使用其 API 或具有泄露监控功能的密码管理器
常见登录失败及诊断方法
SSH 连接被拒绝
`ssh: connect to host 203.0.113.45 port 22: Connection refused`
诊断路径:
- 验证 `sshd` 是否正在运行:`systemctl status sshd`
- 检查防火墙规则:`ufw status` 或 `iptables -L -n | grep 22`
- 确认正确的端口——服务器可能使用非标准 SSH 端口
- 检查 `fail2ban` 或 `sshguard` 是否在多次失败尝试后封禁了您的 IP:`fail2ban-client status sshd`
权限被拒绝(公钥)
`Permission denied (publickey).`
常见原因:
- 指定了错误的密钥——使用 `ssh -v` 获取详细输出,查看正在提供哪个密钥
- `~/.ssh/authorized_keys` 的权限不正确(必须为 `600`)或 `~/.ssh/` 目录权限不正确(必须为 `700`)
- `authorized_keys` 文件中的密钥跨多行(复制粘贴时的换行损坏)
- `sshd_config` 中的 `AuthorizedKeysFile` 指向非默认路径
账户锁定
多次登录失败会在多个层面触发锁定机制:应用程序级别(cPanel、Plesk)、操作系统级别(PAM 的 `pam_faillock`)和防火墙级别(`fail2ban`)。联系您的托管服务商支持以解除 IP 封锁,或者如果您有控制台/KVM 访问权限,可直接解除 IP 封锁:
“`bash
fail2ban-client set sshd unbanip YOUR_IP_ADDRESS
“`
过期或已撤销的 SSH 密钥
SSH 密钥默认没有内置过期机制,但可以通过从 `authorized_keys` 中删除来有效撤销。如果您的密钥突然停止工作:
- 验证公钥是否仍存在于服务器上的 `~/.ssh/authorized_keys` 中
- 检查服务器的 `sshd_config` 是否已更新以限制 `AllowUsers` 或 `AllowGroups`
- 确认密钥是否未被自动化密钥管理系统(Vault、AWS Secrets Manager)轮换
服务器登录安全加固清单
将这些措施应用于您管理的任何服务器:
- 禁用 root SSH 登录(`PermitRootLogin no` 或 `prohibit-password`)
- 部署 SSH 密钥后禁用密码身份验证
- 更改默认 SSH 端口以减少自动化扫描器噪音(通过隐匿实现安全,不能替代真正的加固措施)
- 部署 `fail2ban`,对 SSH 和控制面板登录端点设置严格阈值
- 在所有基于 Web 的控制面板上强制执行 2FA
- 定期审计 `authorized_keys`——删除前员工或已退役系统的密钥
- 对于超过 5 名管理员的团队,使用 SSH 证书(通过内部 CA)代替原始密钥——证书原生支持过期和撤销
- 监控 `/var/log/auth.log`(Debian/Ubuntu)或 `/var/log/secure`(RHEL/CentOS)中的异常登录模式
- 使用 `sshd_config` 中的 `AllowUsers user@trusted_ip` 或防火墙规则按 IP 限制 SSH 访问
如果您正在评估托管选项并希望找到一个开箱即支持所有这些加固措施的平台,请查看可用的 VPS 控制面板,找到符合您团队工作流程的界面。
决策矩阵:您应该使用哪种登录方法?
| 场景 | 推荐方法 | 备注 |
|---|---|---|
| — | — | — |
| 单个开发者,个人 VPS | SSH 密钥(Ed25519)+ 密码短语 | 设置完成后禁用密码身份验证 |
| 管理员团队,生产服务器 | 通过内部 CA 颁发的 SSH 证书 | 支持过期和集中撤销 |
| 非技术用户,共享托管 | cPanel/Plesk 配合 2FA | 确保控制面板 URL 上的 SSL 有效 |
| 自动化部署流水线 | SSH 密钥(无密码短语)+ 受限 Shell | 使用具有最小权限的专用部署密钥 |
| 紧急控制台访问 | 服务商 KVM/IPMI 控制台 | 锁定时完全绕过 SSH |
| 电子邮件和 Web 服务账户 | 密码管理器 + TOTP 2FA | 最高价值账户使用硬件密钥(YubiKey) |
实用要点总结
- 切勿在面向公众的 SSH 服务器上使用密码身份验证。针对端口 22 的自动化暴力破解攻击数量庞大,无论密码强度如何,都会带来安全隐患。
- Ed25519 是新 SSH 密钥生成的当前最佳实践。RSA-4096 仅适用于旧版兼容性。
- `~/.ssh/config` 文件未被充分利用。在其中定义主机别名、端口和密钥路径可消除最常见的 SSH 连接错误。
- 对于托管生产数据或客户账户的任何服务器,控制面板上的 2FA 是不可或缺的。
- 首次连接时验证主机密钥指纹。您的托管服务商应在其控制台中发布这些信息。
- 2FA 的备用代码必须离线存储——在没有备用代码的情况下无法访问验证器意味着需要与服务商进行完整的身份验证流程。
- 定期审计访问权限。至少每月删除过期密钥、禁用非活跃账户并审查登录日志。
常见问题解答
登录远程服务器最安全的方式是什么?
使用 Ed25519 密钥的 SSH 密钥对身份验证,结合私钥上的强密码短语以及 `sshd_config` 中的 `PasswordAuthentication no`。对于团队,由内部 CA 颁发的 SSH 证书增加了静态密钥对所缺乏的过期和撤销功能。
为什么即使我复制了密钥,SSH 仍然显示”权限被拒绝(公钥)”?
最常见的原因是文件权限不正确(`~/.ssh/` 必须为 `700`,`authorized_keys` 必须为 `600`)、客户端提供了错误的密钥,或者复制粘贴导致 `authorized_keys` 文件中出现换行损坏。运行 `ssh -vvv user@host` 可以查看正在尝试哪个密钥以及被拒绝的原因。
我可以同时使用 SSH 密钥和 2FA 吗?
可以。在 `sshd_config` 中设置 `AuthenticationMethods publickey,keyboard-interactive`,并配置基于 PAM 的 TOTP 模块(例如 `libpam-google-authenticator`)。用户必须提供有效密钥,然后通过 TOTP 挑战——两个因素都是必需的。
如果在禁用密码身份验证后被锁定在服务器外,我该怎么办?
通过您的托管服务商的带外控制台(KVM、IPMI 或 VNC)访问服务器。从那里,您可以将公钥重新添加到 `authorized_keys`,更正 `sshd_config`,或临时重新启用密码身份验证以恢复访问。
如何防止对我的 SSH 端口的暴力破解攻击?
安装并配置 `fail2ban`,在定义数量的失败身份验证尝试后封禁 IP。此外,使用防火墙规则(`ufw allow from trusted_ip to any port 22`)将 SSH 访问限制为已知 IP 地址,并考虑将 SSH 移至非标准端口以消除大多数自动化扫描器流量。