SSH Secure Shell
地球上のすべての Linux ボックスがデフォルトでリスンする暗号化されたリモートシェルプロトコル ── そして当社が出荷するすべての VPS の玄関口。
リモートマシンをそのコンソールに座っているかのように操作する暗号化ネットワークプロトコル: シェルアクセス、ファイル転送(SCP、SFTP)、任意の TCP ポート転送、SOCKS プロキシング。1995 年から平文の telnet/rlogin/rsh の 3 つを置き換え始めました。支配的な最新の実装は OpenSSH で、すべての主要な Linux と BSD ディストリビューション、macOS で提供されています。
SSH は VPS のコントロールプレーン全体です。
あなたとオペレーティングシステムの間に独自のコントロールパネルはありません ── グラフィカルな「サーバーマネージャー」なし、抽象化されたファイルブラウザなし、キャプティブポータルスタイルの web シェルなし。すべての NordBastion VPS は、ポート 22 で SSH をリスンする標準的な Linux マシンとしてあなたの手に届きます。単一の root クレデンシャルがパネル経由で配信されます。SSH がコントロールプレーン全体、以上。
その決定は、製品の残りと同じロジックに基づきます: SSH はオープンで、よく監査されており、高速で、ベルリンのノート PC、Termius を持つスマートフォン、別のデータセンターの CI ランナーから同一に動作します。カスタム web パネルはより遅く、より弱く、OpenSSH プロジェクトがすでに当社よりよくメンテナンスしているコードを当社が維持する必要があります。
最初の 1 時間の opsec 推奨事項は、NordBastion VPS でも任意の本番 Linux ボックスでも同じです: Ed25519 鍵を生成し、公開鍵をサーバーにコピーし、必要なければパスワード認証と root ログインを無効にし、fail2ban または同等品をインストールし、ファイアウォールで送信元 IP の制限を検討します。ハードニングガイドはすべてのコマンドを通り抜けます。
人々が実際に尋ねる質問。
VPS に SSH で接続するには?
ターミナルから: `ssh [email protected]`。最初の接続では、ホストのフィンガープリントを検証するよう促されます ── 受け入れる前に顧客パネルに表示された値と比較してください。その後、鍵ベースの認証が推奨セットアップです: Ed25519 鍵ペアをローカルで生成し、公開鍵を VPS の ~/.ssh/authorized_keys に貼り付け、/etc/ssh/sshd_config でパスワードログインを無効にします。最初の 1 時間のハードニングガイドが各ステップを通り抜けます。
パスワード認証は安全か?
パスワードが長くランダムなら十分に安全ですが、鍵ベースの認証は意味のある形でより良いです。強力な鍵はドライブバイスキャナーによってブルートフォースできず(そして、毎日すべての公開 IP のポート 22 に当たるそうしたスキャナーはたくさんあります)、パスワード認証を完全に無効にすることは、ログから 1 クラス全体のクレデンシャルスタッフィングノイズを排除します。ハードニングガイドはデフォルトとして鍵のみの認証を推奨します。
SSH ポート転送とは?
暗号化された SSH 接続経由で任意の TCP トラフィックをトンネルする方法。ローカル転送(`-L`)はリモートサービスをローカルポートで公開します ── 例えば、VPS の PostgreSQL をノート PC の localhost:5432 で開く。リモート転送(`-R`)はその逆です。動的転送(`-D`)は、それを使用するように構成された任意のアプリケーションを VPS 経由でルーティングする SOCKS プロキシをセットアップします。3 つすべて非常に有用で、学ぶ価値があります。
デフォルトの SSH ポートを 22 から変更すべきか?
ほとんど化粧的なものです。SSH を高ランダムポートに移動すると、ログ内のドライブバイスキャナーノイズの量は減りますが、単にホストをスキャンする標的型攻撃者には何の効果もありません。本当の防御は鍵のみの認証、fail2ban スタイルのレート制限、アクセスパターンが許すならファイアウォールレベルでの送信元 IP の制限です。ガイドは 3 つすべてを通り抜けます。