安全加固¶
如果你的 FlexKVM 暴露在公网或多用户环境中,建议完成以下安全配置。按优先级从高到低排列。
优先级一:开启 2FA 双因素认证¶
这是性价比最高的安全措施。即使密码泄露,攻击者没有你的手机也无法登录。
开启步骤¶
进入 Web 界面 → 设置 → 账户:
- 点击 2FA 认证区域的"启用"按钮
- 用手机验证器应用(Google Authenticator / Microsoft Authenticator)扫描显示的二维码
- 输入验证器显示的 6 位验证码完成绑定
绑定后每次登录都需要输入 6 位动态验证码。
务必保存备用恢复码! 万一手机丢了,恢复码是唯一能找回账户的方式。
2FA 对 SSH 的影响¶
SSH 登录不需要 2FA 验证码,仅需账号密码。如果需要更严格的 SSH 安全控制,可以关闭 SSH 服务,详见 SSH。
账户管理¶
定期修改密码、管理多用户权限,详见 账号管理。
优先级二:配置 HTTPS 证书¶
默认情况下 FlexKVM 用自签名证书,浏览器会提示"不安全"——连接本身是加密的,只是证书不被浏览器信任。上传你自己的 SSL 证书可以消除这个警告。
进入 Web 界面 → 设置 → 高级功能 → HTTPS:
- 准备 SSL 证书文件(.crt)和私钥文件(.key)
- 上传两个文件
- 点击启用
一般需要配合域名使用(Let's Encrypt 免费证书)。如果没有域名,可以保持自签名证书——安全性一样,只是浏览器会警告。
详见 HTTPS 配置。
优先级三:配置 SSH 安全¶
SSH 默认启用,监听 22 端口。生产环境建议:
- 不需要时关闭 SSH:设置 → 高级功能 → SSH,关闭开关
- 限制认证尝试次数:默认 3 次,可在 SSH 服务配置中调整(范围 1~10)
- 认证失败自动延迟:多次失败后自动增加等待时间,防止暴力破解
SSH 详细配置和可用命令见 SSH 远程访问。
优先级四:定期导出审计日志¶
审计日志默认自动记录所有关键操作——谁在什么时候做了什么。对于多用户环境或生产系统尤其重要,建议定期导出留档。
审计记录包括: - 登录成功/失败事件 - SSH 服务的启用和禁用 - 命令执行记录
进入 Web 界面 → 设置 → 维护 → 审计,可以查看和导出审计记录。
安全检查清单¶
| 检查项 | 默认状态 | 建议 |
|---|---|---|
| 管理员密码 | 首次使用时创建 | 使用强密码(≥12 位,含大小写字母+数字+符号) |
| 2FA | 未启用 | 强烈建议开启 |
| HTTPS 证书 | 自签名 | 有域名则上传可信证书 |
| SSH 服务 | 默认启用 | 不需要则关闭 |
| 审计日志 | 自动记录 | 定期导出 |
| 固件版本 | — | 保持最新,及时安装安全更新 |
| 公网暴露 | 无 | 如通过端口转发暴露公网,务必开启 2FA |