跳转至

安全加固

设备暴露在公网或多用户环境?按优先级从高到低逐项做——每项 5 分钟以内,做完一项就安全一分。


P1:开启 2FA 双因素认证

性价比最高的安全措施。密码泄露了,攻击者没你的手机也登不进来。

怎么做

进 Web 界面 → 设置 → 账户 → 点 2FA 认证 区域的"启用":

  1. 手机装个验证器应用(Google Authenticator / Microsoft Authenticator)
  2. 扫描屏幕上显示的二维码 → 应用里出现 FlexKVM 条目和 6 位动态码
  3. 输入验证码完成绑定

验证:退出登录再重新登录,输入密码后系统应该要求输入 6 位验证码。

⚠️ 务必保存备用恢复码。 手机会丢、验证器可能误删——恢复码是唯一找回账户的方式。建议存密码管理器或打印纸质备份。

对 SSH 的影响

SSH 登录不要求 2FA 验证码,只需账号密码。需要更严格的 SSH 安全控制可以关掉 SSH 服务,见 P3

修改密码、重新生成 2FA、管理备用码 → 账号管理


P2:上传 HTTPS 证书

FlexKVM 默认用自签名证书——浏览器会提示"不安全",但通信本身是加密的。上传你自己的 SSL 证书可以去掉这个警告。

怎么做

进 Web 界面 → 设置 → 高级功能 → HTTPS:

  1. 准备 SSL 证书文件(.crt)和私钥文件(.key),PEM 格式
  2. 上传两个文件 → 切换到"自定义证书"模式

验证:浏览器地址栏出现 🔒 图标。

一般需要配合域名使用(Let's Encrypt 免费证书可以搞定)。没有域名的话,自签名证书安全性一样,只是浏览器会警告——可以接受。

证书格式转换、上传失败排查 → HTTPS 证书


P3:加固 SSH

SSH 默认开着,监听 22 端口。如果不需要,建议直接关掉;需要的话,限制一下安全策略。

不需要 SSH → 关掉

进 Web 界面 → 设置 → 高级功能 → SSH → 关开关。

需要 SSH → 收紧

  • 认证失败上限:默认 3 次,失败后自动断开
  • 失败后延迟:多次失败后等待时间递增,防暴力破解

SSH 可用命令、终端快捷键、故障排查 → SSH 远程访问


P4:定期导出审计日志

审计日志记录谁在什么时候做了什么——登录、配置变更、命令执行。多用户环境或生产系统建议每月导出一次。

进 Web 界面 → 设置 → 维护 → 审计 → 点下载

日志格式、分页浏览、下载校验 → 审计日志


安全检查清单

检查项 默认 建议
管理员密码 首次创建 ≥12 位,含大小写+数字+符号
2FA 未启用 强烈建议开启
HTTPS 证书 自签名 有域名就上传可信证书
SSH 服务 启用 不需要就关
审计日志 自动记录 每月导出一次
固件版本 保持最新
公网暴露 如果通过端口转发暴露了,务必开 2FA

下一步


返回场景向导