SSH Secure Shell
地球上每一台 Linux 机器默认都在监听的加密远程 shell 协议——也是我们出货的每一台 VPS 的前门。
一种加密网络协议,让你像坐在远端机器的控制台前一样操作它:shell 访问、文件传输(SCP、SFTP)、任意 TCP 端口转发以及 SOCKS 代理。从 1995 年起取代了明文的 telnet/rlogin/rsh 三件套。目前主流的现代实现是 OpenSSH,每个主要 Linux 与 BSD 发行版和 macOS 都附带它。
SSH 就是你 VPS 的整个控制平面。
在你和操作系统之间没有任何专有控制面板——没有图形化「服务器管理器」、没有抽象化的文件浏览器、没有强制门户式的网页 shell。每台 NordBastion VPS 到你手里时都是一台标准 Linux 机器,在 22 端口上监听 SSH,并通过控制面板交付一份 root 凭证。SSH 就是整个控制平面,没有别的。
这一决定遵循的逻辑与产品其余部分一样:SSH 开放、审计充分、速度快,无论是柏林的笔记本、装着 Termius 的手机,还是另一数据中心里的 CI runner,使用方式都一样。一个自定义网页面板会更慢、更弱,并且会迫使我们去维护一份 OpenSSH 项目本来就比我们做得更好的代码。
在一台 NordBastion VPS 上,第一小时的运维安全建议与任何生产 Linux 机器一样:生成一把 Ed25519 密钥、把公钥复制到服务器、禁用密码认证以及(如果不需要的话)root 登录、安装 fail2ban 或同类工具,并考虑在防火墙处限制源 IP。加固指南会逐条命令走完。
人们真正会问的问题。
我如何通过 SSH 连接我的 VPS?
在终端里:`ssh [email protected]`。第一次连接会提示你验证主机指纹——在接受之前请与客户控制面板中显示的值比对。之后建议采用基于密钥的认证:本地生成一对 Ed25519 密钥,把公钥粘到 VPS 上的 ~/.ssh/authorized_keys,并在 /etc/ssh/sshd_config 中禁用密码登录。第一小时加固指南会逐步走完每一步。
密码认证安全吗?
只要密码足够长且随机,就足够安全;但基于密钥的认证显著更优。强密钥不会被巡游式扫描器暴力破解(每天都有大量这种扫描器击打每一个开放 22 端口的公网 IP),完全禁用密码认证还能从日志里彻底消除一整类凭据填充噪音。加固指南把仅密钥认证推荐为默认。
什么是 SSH 端口转发?
一种通过加密的 SSH 连接隧道化任意 TCP 流量的方法。本地转发(`-L`)将远端服务暴露在本地的某个端口上——例如把 VPS 上的 PostgreSQL 开在你笔记本的 localhost:5432。远程转发(`-R`)则相反。动态转发(`-D`)建立一个 SOCKS 代理,把任何配置使用它的应用都通过 VPS 路由。三者都极其有用,值得学习。
我应该把 SSH 默认端口从 22 改掉吗?
多半只是化妆。把 SSH 移到一个高位随机端口能减少日志里的巡游扫描器噪音,但对一个会直接扫主机的目标性攻击者毫无作用。真正的防御是仅密钥认证、一个 fail2ban 风格的限速器,以及如果你的访问模式允许,在防火墙层限制源 IP。指南会带你走完这三件事。