介紹
參加了阿里雲的雲翼計劃,獲得了每月9.9元的服務器,然後想通過這個服務器來做些什麼,比如web項目之類的,所以首先要服務器進行一些初始化和安全的調整。
聲明:下面的代碼塊中,如果出現 local$ 即爲在本地終端輸入的命令,出現 aliyun$即爲在遠程服務器終端上輸入的命令
Step One — 使用root登錄
在購買了阿里雲的服務器,並創建實例(安裝系統)後,會讓你輸入初始的實例密碼,而這個實例密碼就是你的服務器上的系統中root用戶的密碼。我們可以使用ssh登錄服務器
local$ ssh root@SERVER_IP_ADDRESS SERVER_IP_ADDRESS 爲你的阿里雲實例的公網ip
登錄的時候,會提示你輸入root用戶的密碼。
Step Two — 創建一個新用戶
以root登錄成功後,我們就可以創建一個用戶用於我們以後的常規登錄。在ubuntu中,添加用戶的命令爲adduser演示如下:
aliyun$ adduser USERNAME USERNAME 爲你要新增的用戶名
輸入完畢後,會提示輸入新增用戶的密碼,請務必輸入一個強壯的密碼,然後其他輸入信息都是可選項,一路按enter跳過
Step Three — Root 權限
上面創建的用戶,只是普通用戶,但是我們經常需要用這個用戶來做一些有管理員權限才能執行的操作(比如,安裝軟件)。所以我們需要提升我們上面創建的用戶的權限,讓他能使用sudo命令。
在root用戶下,使用以下命令將上面創建的用戶添加到 sudo group
aliyun$ gpasswd -a USERNAME sudo
現在,你的用戶就擁有了超級用戶的權限了。
Step Four — 添加公鑰認證 (Recommended)
生成鑰匙對
要生成一個鑰匙對,就需要在本地終端下輸入以下命令:
local$ ssh-keygen
一路使用回車跳過即可。
Mac下,公私鑰默認生成在 /Users/yourusername/.ssh/目錄下,生成完畢後,通過cd .ssh進入該目錄可以看到,id_rsa(私鑰) 和 id_rsa.pub(公鑰).
複製公鑰
在.ssh目錄下,使用cat id_rsa.pub 查看公鑰,輸出應該類似是這樣子的
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRl2aMWW7EtC8dN74p2wvnYZvVxdjGvTOc5aex1QZtdJ/EtCDxKrwjs4+SG1KwOosN75tgd9XoHoW3mfta03OC44j6CmlxS2e6UUfzhtayVFw1u11Jvb2i2JSpbr/bpqgHmsjyNfQoz4FPz6fk+GmVfG0TTJjkUDENXgII73/yNZRrioSslKhLY+Z7kwo9hEoTJ9f07j6y1WKlEON93n+5pNrWzm6sZzNZT+qDAgU685EHemJjTU9zrt+BUAcKBj77tFUM4yFbxFehIq986TYzXf7+cw9ossdWbBt/jYNyc9kDtRhBcCSZH0iNqG+2IuUx8FrJ0n0nmQ3iC1coPpN5 [email protected]
然後將輸出的東西複製。
添加公鑰到遠程服務器
在root用戶下,使用 su - USERNAME 切換到你先前創建的用戶,然後輸入cd ~ 進入先前創建用戶的HOME目錄下。
然後使用以下命令創建.ssh文件夾和更改他的權限
aliyun$ mkdir .ssh
aliyun$ chmod 700 .ssh (可選)
然後進入.ssh文件夾內創建authorized_keys文件,並將上面複製的公鑰粘貼進去這個文件內
aliyun$ vim authorized_keys 按i進入編輯模式,粘貼公鑰,然後按ESC退出編輯模式,輸入:wq保存且退出
aliyun$ chmod 600 authorized_keys (可選)
現在,你可以在本機上使用通過RSA驗證的方式ssh登錄遠程服務器。
使用exit命令切換回root用戶
Step Five — 配置SSH
對遠程服務器上的SSH程序進行一定的配置,使其更加安全。
aliyun$ vim /etc/ssh/sshd_config
找到PermitRootLogin yes 和 PasswordAuthentication yes ,將兩者後面的yes都改爲no。前者修改爲no後就禁用ssh使用root用戶登錄(平常登錄使用我們上面創建的用戶),後者修改爲no後就禁用了ssh使用密碼登錄,只是用公鑰認證,這樣可以防止別人通過多次試探猜測密碼登錄
Step Six — 重載SSH
使用以下命令重啓ssh,以便我們上面的設置生效
aliyun$ service ssh restart
現在,我們可以在本地使用
local$ ssh USERNAME@SERVER_IP_ADDRESS測試登錄是否使用RSA登錄
Step Seven - 修改本地ssh配置
我們發現,現在每次登錄都要輸入很長的遠程服務器的IP(SERVER_IP_ADDRESS),這東西即難記而且麻煩輸入,有沒有什麼方法而已簡化輸入呢?答案是有的。
我們在本地的.ssh文件夾內,新增一個文件config,然後對其進行編輯。
local$ vim ~/.ssh/config
添加大概如下內容
Host 別名
HostName 主機名(遠程服務器的公網ip)
Port 端口(ssh的默認端口爲22,如果修改這項,需要與你在遠程服務器設置的進行匹配)
User 用戶名
IdentityFile 密鑰文件的路徑比如我設置一個ip爲123.123.123.123的服務器,用戶名爲demo,設置大概如下
Host aliyun
HostName 123.123.123.123
Port 22
User demo
IdentityFile ~/.ssh/id_rsa這樣子,我只要在本地終端使用
local$ ssh aliyun
即可完成登錄操作