安全加固¶
设备暴露在公网或多用户环境?按优先级从高到低逐项做——每项 5 分钟以内,做完一项就安全一分。
P1:开启 2FA 双因素认证¶
性价比最高的安全措施。密码泄露了,攻击者没你的手机也登不进来。
怎么做¶
进 Web 界面 → 设置 → 账户 → 点 2FA 认证 区域的"启用":
- 手机装个验证器应用(Google Authenticator / Microsoft Authenticator)
- 扫描屏幕上显示的二维码 → 应用里出现 FlexKVM 条目和 6 位动态码
- 输入验证码完成绑定
验证:退出登录再重新登录,输入密码后系统应该要求输入 6 位验证码。
⚠️ 务必保存备用恢复码。 手机会丢、验证器可能误删——恢复码是唯一找回账户的方式。建议存密码管理器或打印纸质备份。
对 SSH 的影响¶
SSH 登录不要求 2FA 验证码,只需账号密码。需要更严格的 SSH 安全控制可以关掉 SSH 服务,见 P3。
修改密码、重新生成 2FA、管理备用码 → 账号管理
P2:上传 HTTPS 证书¶
FlexKVM 默认用自签名证书——浏览器会提示"不安全",但通信本身是加密的。上传你自己的 SSL 证书可以去掉这个警告。
怎么做¶
进 Web 界面 → 设置 → 高级功能 → HTTPS:
- 准备 SSL 证书文件(
.crt)和私钥文件(.key),PEM 格式 - 上传两个文件 → 切换到"自定义证书"模式
验证:浏览器地址栏出现 🔒 图标。
一般需要配合域名使用(Let's Encrypt 免费证书可以搞定)。没有域名的话,自签名证书安全性一样,只是浏览器会警告——可以接受。
证书格式转换、上传失败排查 → HTTPS 证书
P3:加固 SSH¶
SSH 默认开着,监听 22 端口。如果不需要,建议直接关掉;需要的话,限制一下安全策略。
不需要 SSH → 关掉¶
进 Web 界面 → 设置 → 高级功能 → SSH → 关开关。
需要 SSH → 收紧¶
- 认证失败上限:默认 3 次,失败后自动断开
- 失败后延迟:多次失败后等待时间递增,防暴力破解
SSH 可用命令、终端快捷键、故障排查 → SSH 远程访问
P4:定期导出审计日志¶
审计日志记录谁在什么时候做了什么——登录、配置变更、命令执行。多用户环境或生产系统建议每月导出一次。
进 Web 界面 → 设置 → 维护 → 审计 → 点下载。
日志格式、分页浏览、下载校验 → 审计日志
安全检查清单¶
| 检查项 | 默认 | 建议 |
|---|---|---|
| 管理员密码 | 首次创建 | ≥12 位,含大小写+数字+符号 |
| 2FA | 未启用 | 强烈建议开启 |
| HTTPS 证书 | 自签名 | 有域名就上传可信证书 |
| SSH 服务 | 启用 | 不需要就关 |
| 审计日志 | 自动记录 | 每月导出一次 |
| 固件版本 | — | 保持最新 |
| 公网暴露 | 无 | 如果通过端口转发暴露了,务必开 2FA |