如何设置授权连接服务器

服务器作为网站和应用的核心，其访问安全至关重要。“授权连接” 是确保只有被允许的人或系统才能访问服务器的关键机制，正确设置授权连接不仅能防止未授权入侵，也是专业运维和安全管理（E-A-T中“专业性”和“可信度”的核心体现）的基本要求，以下是如何安全、专业地进行设置：

核心原则：最小权限原则

在开始设置前，请牢记：只授予完成工作所必需的最低权限，避免使用具有超级管理员权限的账户进行日常连接或操作，这是保障服务器安全的第一道防线。

一、 基础设置：用户账户与密码

1、创建专用账户：

* 避免直接使用root (Linux) 或Administrator (Windows) 账户进行远程连接，为每个需要访问服务器的人员或服务创建独立的、具有描述性的用户名。

Linux示例

        sudo adduser username  # 创建新用户
        sudo usermod -aG sudo username  # 授予sudo权限（如果需要管理员权限）

Windows示例 在“计算机管理”->“本地用户和组”->“用户”中创建新用户。

2、强密码策略：

强制使用强密码 密码长度至少12位，包含大小写字母、数字和特殊符号。

定期更换密码 要求用户定期（如每90天）更换密码。

禁用或重命名默认账户 特别是root 和Administrator，或者为其设置极其复杂、独一无二的密码（并妥善保管）。

避免密码复用 确保服务器密码与其他系统密码不同。

重要提示 仅依赖密码存在被暴力破解或钓鱼的风险，强烈建议启用更安全的密钥认证或双因素认证。

二、 提升安全性：密钥认证 (SSH)

对于Linux服务器（以及支持SSH的Windows Server），SSH密钥对认证比密码安全得多，是专业运维的标配。

1、生成密钥对 (在客户端)：

* 使用ssh-keygen 工具（Linux/macOS终端或Windows的PuTTYgen/WSL）生成公钥/私钥对。

* 私钥必须绝对保密，存放在客户端安全位置（可加密保护），公钥将上传到服务器。

示例（客户端生成）

        ssh-keygen -t rsa -b 4096  # 推荐使用rsa 4096或ed25519
        # 按提示操作，建议为私钥设置密码（Passphrase）增加一层保护。

2、上传公钥到服务器：

方法一 (推荐) 使用ssh-copy-id 工具（如果客户端支持）：

        ssh-copy-id -i ~/.ssh/id_rsa.pub username@your_server_ip

方法二 (手动)

1. 将公钥内容（id_rsa.pub）复制。

2. 登录服务器（先用密码登录）。

3. 编辑或创建~/.ssh/authorized_keys 文件：

            mkdir -p ~/.ssh  # 确保.ssh目录存在
            chmod 700 ~/.ssh  # 设置正确权限
            nano ~/.ssh/authorized_keys  # 编辑文件

4. 将公钥内容粘贴进去，保存退出。

5. 设置文件权限：

            chmod 600 ~/.ssh/authorized_keys

3、配置SSH服务端 (服务器上)：

编辑SSH配置文件/etc/ssh/sshd_config

        sudo nano /etc/ssh/sshd_config

修改或确认以下关键配置

        Port 22  # 考虑修改为非标准端口以降低扫描风险（可选但推荐）
        PermitRootLogin no  # 禁止root直接SSH登录！至关重要！
        PasswordAuthentication no  # 禁用密码认证，强制使用密钥！提升安全关键！
        PubkeyAuthentication yes  # 启用公钥认证
        PermitEmptyPasswords no   # 禁止空密码

保存后重启SSH服务

        sudo systemctl restart sshd  # 或 sudo service ssh restart (根据系统)

重要提示 在禁用密码认证 (PasswordAuthentication no) 之前，务必确认你的密钥认证已成功配置并能正常登录！ 否则可能导致自己也无法登录。

三、 远程桌面 (Windows) 的安全授权

1、启用网络级身份验证 (NLA)：

* NLA要求在用户登录前就进行身份验证，能有效抵御某些攻击，在服务器“系统属性”->“远程”设置中确保勾选“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”。

2、限制可登录用户：

* 在“系统属性”->“远程”->“选择用户”中，明确指定哪些用户或用户组有权通过远程桌面连接，不要随意添加“Remote Desktop Users”组的所有成员。

3、考虑使用远程桌面网关 (RD Gateway)：

* 对于暴露在公网的Windows服务器，强烈建议部署RD Gateway，它提供SSL加密隧道和集中的连接授权策略，比直接暴露RDP端口（3389）安全得多。

四、 防火墙：精确控制访问源

1、启用服务器防火墙：

* Linux:ufw (简单) 或firewalld/iptables (高级)。

* Windows: 内置Windows Defender 防火墙。

确保防火墙默认策略为拒绝所有入站连接。

2、仅开放必要的端口给必要的来源：

SSH (Linux): 只允许管理员的固定公网IP（或IP段）访问SSH端口（默认22或你修改后的端口）。

RDP (Windows):绝对不要将3389端口直接对所有互联网IP开放！如果必须从公网访问，强烈建议

* 仅允许特定管理IP访问。

* 或者，通过VPN连接到服务器所在网络后再使用RDP内网地址连接（最安全推荐方式）。

* 或者，如前所述，使用RD Gateway。

Web服务端口 (80/443): 开放给所有IP（0.0.0.0/0）。

其他服务端口 按需开放，同样限制来源IP范围（如果可能）。

五、 定期审计与维护 (E-A-T中“可信度”的体现)

定期审查用户账户 删除不再需要访问权限的用户。

审查授权密钥/用户列表 定期检查~/.ssh/authorized_keys 文件 (Linux) 和远程桌面用户列表 (Windows)，移除无效或过期的授权。

更新系统和软件 及时修补操作系统、SSH服务端、远程桌面服务等组件的安全漏洞。

监控登录日志 定期检查/var/log/auth.log (Linux) 或 事件查看器中的安全日志 (Windows) 中的登录记录，留意异常登录尝试。

关键观点：

授权连接服务器的设置，绝非简单的打开端口、设置密码，它是服务器安全防护体系中最基础也最关键的环节之一。忽视最小权限原则、依赖弱密码、随意开放高危端口，等同于将服务器大门敞开。 采用基于密钥的强认证、严格限制访问来源（IP/用户）、保持系统更新并定期审计，是每一个负责任的站长和运维人员必须遵循的专业准则（E-A-T的核心），安全无小事，一次正确的授权设置，抵得上十次事故后的补救，请务必以最高标准对待。

文章摘自：https://idc.huochengrm.cn/fwq/10167.html