腾讯云渠道折扣 首次登录腾讯云CVM使用SSH密钥对代替密码安全登录教程

这篇文章是给准备在腾讯云国际站（intl.cloud.tencent.com）首次购买并登录 Linux CVM 的用户看的。重点不放在概念，而是把账号开通、风控、支付、购买、登录、排障与成本用一条线串起来，避免你在第一次实践时踩坑。

腾讯云渠道折扣 一、你为什么会搜这个？三类典型场景

• 新账号、第一次买 CVM，希望一开始就用 SSH 密钥而不是密码，减少被撞库的风险。
• 腾讯云渠道折扣 实例已经创建但只设置了密码，担心被爆破，想切换为仅允许密钥登录。
• 买了实例却登不上：要么“Permission denied (publickey)”，要么超时，多半是安全组/用户名/密钥文件权限或风控问题。

下面按这三类场景提供操作路线与避坑指南。

二、快速决策：密钥登录 vs 密码登录

对比项	SSH 密钥	密码
首次登录体验	创建/导入密钥后直接登录；Windows 需转换 .ppk 或用内置 OpenSSH	设置好密码即可，工具支持广
暴力破解面	公钥不可逆，暴破难度高，风险低	容易被爆破，需强密码+Fail2ban 等额外措施
团队协作	按用户分发公钥，撤销权限不改公共密码	多人共用密码，人员离职易遗留风险
丢失风险	丢私钥会无法登录，需预备第二条通道	忘记可重置，操作路径更直观
成本差异	密钥对本身免费	密码免费

建议：生产环境默认启用“仅允许密钥登录”，同时保留控制台绑定/替换密钥的能力与安全组回滚策略。

三、账户准备：注册、实名认证、支付与风控（国际站）

1. 注册与实名认证

• 注册国际站账号（邮箱/手机号）。
• 完成个人或企业 KYC：上传身份证/护照信息与自拍，企业需营业执照/法人信息。审核通常 5–30 分钟，个别国家需 1–2 个工作日。
• 常见失败：证件过期、证件边角模糊、姓名与证件不一致、企业英文名与证照不匹配。

2. 支付方式

• 常见可用：信用卡/借记卡（Visa/Master/JCB/Amex，需支持 3DS）、PayPal（部分地区）、账户余额。
• 大陆站与国际站支付不同步。国际站一般不支持微信/支付宝（除特殊活动通道）。
• 首次绑卡会做小额授权（常见 1 美元/等值），用于验证卡可用性，会自动释放。

3. 风控注意事项

• 新账户、匿名网络（VPN/Tor）、一次性邮箱、异常地址容易触发风控；同一时间大量购买/频繁退订也会触发。
• 被风控后常见现象：无法创建实例、支付失败或需要人工审核。解决办法：提交工单，提供持卡人姓名、账单地址、近期待购用途说明与公司网站链接。
• 同一地区初始配额通常较小（例如每区 2–3 台 CVM），需要提配额单提升。

四、购买 CVM 时启用 SSH 密钥：完整流程

步骤 A：在控制台创建或导入密钥对

1. 进入控制台 > 密钥对（Key Pairs）。
2. 选择“创建密钥对”或“导入密钥”。建议使用 ED25519 或 RSA 2048/4096。（控制台通常默认 RSA。）
3. 创建后下载 .pem 私钥妥善保存。不要通过 IM/邮件明文传给同事；企业内建议用密码库或集中密钥管理。
4. Windows 使用 PuTTY 的用户，用 PuTTYgen 将 .pem 转换为 .ppk；Windows 10/11 自带 OpenSSH 时可直接用 .pem。
5. 批量创建密钥在短时间内可能触发风控；一组区域内控制在 3–5 个常用密钥，其他用用户级公钥管理。

步骤 B：创建实例并只允许密钥登录

1. 选择地域与可用区。提示：靠近用户的区域能降低首登延迟，也减少公司网络到云上 22 端口被中间网络丢包的概率。
2. 镜像：选官方 Linux 公共镜像（CentOS、Ubuntu、Debian 等）或经安全审计的自定义镜像。
3. 登录方式：选择“密钥对”，勾选“仅允许使用密钥登录”（名称以控制台为准）。
4. 网络与安全组：
   • VPC/子网按需选择。确保实例具备公网访问能力：购买公网带宽包或绑定 EIP。
   • 安全组入站仅放通 TCP 22 给你的办公出口 IP 或堡垒机段。不要放通 0.0.0.0/0，至少先限制为你所在国家/公司网段，之后再细化。
5. 系统盘与数据盘：建议系统盘高可用型云硬盘，数据盘单独挂载；快照策略按周设置，防止首登误操作导致回滚困难。
6. 腾讯云渠道折扣 计费模式：首台建议按量付费先验收连通与镜像；稳定后改为包年包月节约成本。

步骤 C：首次登录（Mac/Linux/Windows）

腾讯云渠道折扣 下载的私钥文件名假设为 sg-app.pem，公网 IP 为 1.2.3.4。

• Mac/Linux：

  chmod 400 ~/Downloads/sg-app.pem
  # Ubuntu 常见用户名：ubuntu（部分镜像支持 root）
  # CentOS/Debian 常见用户名：root
  ssh -i ~/Downloads/sg-app.pem [email protected] -o IdentitiesOnly=yes

  如果返回“UNPROTECTED PRIVATE KEY FILE”，是权限不对，执行 chmod 400 即可。

• Windows 10/11 PowerShell（内置 OpenSSH）：

  cd $env:USERPROFILE\.ssh
  ssh -i .\sg-app.pem [email protected] -o IdentitiesOnly=yes

• Windows + PuTTY：
  1. 用 PuTTYgen 导入 .pem，保存为 .ppk。
  2. PuTTY > Session > Host Name: [email protected]；Connection > SSH > Auth 加载 .ppk。

用户名提醒：Ubuntu 常用 ubuntu，CentOS/Debian 常用 root。个别市场镜像可能自定义用户名，请查镜像说明或在控制台“登录信息”里查看。

五、如果实例已经创建且只有密码：如何切换成密钥

方法 1：在线添加公钥（无停机）

1. 用密码登录后，创建 ~/.ssh 目录并设权限：

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh

2. 将你的公钥内容（id_rsa.pub 或 id_ed25519.pub）追加到 ~/.ssh/authorized_keys：

   echo "ssh-ed25519 AAAAC3Nz... your@mail" >> ~/.ssh/authorized_keys
   chmod 600 ~/.ssh/authorized_keys

3. 编辑 /etc/ssh/sshd_config（建议先开第二个会话备用）：
   • 确认 PubkeyAuthentication yes
   • 先不要立即设置 PasswordAuthentication no，等密钥登录验证成功后再改。
4. 重启 SSH 服务：

   sudo systemctl restart sshd   # CentOS/RHEL/Debian/Ubuntu 新版
   sudo service ssh restart      # Ubuntu/Debian 旧版

方法 2：控制台绑定密钥对（需短暂停机）

1. 控制台 > CVM > 实例 > 停止实例（会短暂停机）。
2. 更多 > 登录设置 > 绑定密钥对（或“替换密钥对”）。选择你创建好的密钥。
3. 启动实例。用密钥尝试登录成功后，再在 sshd_config 里禁用密码登录。

腾讯云渠道折扣 注意：控制台替换密钥对时不会清除你的数据盘；重装系统或重置系统盘会清空系统盘数据，谨慎操作。

六、常见失败与排障清单（按出现概率排序）

1. 连接超时：
   • 腾讯云渠道折扣 安全组未放通 22 到你的公网 IP。修复：添加入站规则，源设为你的出口 IP 段。
   • 实例无公网：未购买带宽或未绑定 EIP。修复：绑定 EIP 或通过堡垒机/内网专线访问。
   • 公司网络拦截 22。修复：临时切换手机 4G/5G 热点或改临时端口（安全组与 sshd 同步变更）。
2. Permission denied (publickey)：
   • 用户名不对。Ubuntu 常用 ubuntu，CentOS/Debian 常用 root。
   • 私钥权限太宽。执行 chmod 400 key.pem。
   • 密钥不匹配。控制台绑定的是 A 密钥，你用的是 B；或导入公钥格式有换行/空格错误。
   • cloud-init 尚未完成写入公钥。新机启动 30–90 秒后再试，或查看 /var/log/cloud-init.log。
3. 首次登录卡顿或断开：
   • 安全组 IP 限制过窄，办公网络出口 IP 变化导致时断时续。
   • 跨国链路抖动。解决：选近区或临时在同区域创建跳板机。
4. 控制台绑定密钥失败：
   • 实例未关机。绑定/替换密钥需实例停止。
   • 风控冻结。提交工单解除。
5. 丢失私钥：
   • 如果仍有密码登录或 sudo 用户，方法 1 追加新公钥。
   • 若禁用了密码且无其他 sudo 用户：控制台停机后绑定新密钥；若镜像不支持，考虑通过实例救援（挂载为数据盘到另一台机器）写入 authorized_keys。

七、地区差异与使用限制

• 地区与合规：部分国家/地区受出口管制或合规限制，购买与绑定支付可能被拒。
• 默认限制：端口 25 默认封禁；如果你计划发信，请改用第三方 SMTP 或走云邮件服务。
• 配额：新账号各区 CVM 数量与 EIP 数量有限，需要提配额申请单提升。
• IPv6：个别地域支持公网 IPv6。若你未购买 IPv4 带宽但有 IPv6，可通过 IPv6 登录（需安全组放通 IPv6 22，命令 ssh -6）。

八、成本影响与续费要点（与 SSH 相关的实际开支）

• 腾讯云渠道折扣 密钥/密码本身不收费；成本来自实例、带宽/EIP、磁盘、快照与可选堡垒机。
• 公网访问策略会明显影响费用：
  • 独立 EIP：适合固定公网；按带宽包或流量计费。入门建议流量计费，避免闲时固定带宽成本。
  • 腾讯云渠道折扣 带宽计费切换通常需实例停机或窗口期，避免在业务高峰操作。
• 包年包月 vs 按量：验证阶段用按量；稳定后转包月。新用户代金券通常仅部分地域/机型可用，注意券适用条件。
• 自动续费：绑定信用卡的 3DS 校验失败会导致续费失败，实例到期进入隔离/回收流程。生产建议：
  • 打开自动续费与续费前提醒。
  • 余额准备金≥1–2 个周期费用。
  • 按季度核验卡片有效期与 3DS。
• 运维成本：密钥登录减少被暴力破解产生的告警与封禁操作时间；如果团队规模大，建议上堡垒机或集中密钥管理（额外产品费用）。

九、实际案例：三个常见问题的处理

腾讯云渠道折扣 案例 1：新账号在新加坡区创建 CVM，支付被拒

背景：使用香港发卡行 Visa，3DS 未开通；控制台提示风控冻结。

处理：1）联系发卡行开通 3DS；2）提交工单，提供卡片抬头+账单地址+公司网站；3）改用 PayPal 绑定；4）通过后按量创建 1 台测试机，正常一周后再批量采购。

案例 2：选择了“仅密钥登录”，但“Permission denied (publickey)”

背景：Ubuntu 镜像，用户一直用 root 登录。

处理：改为 ubuntu@IP 登录，成功。随后在系统内启用 sudo 并设置团队用户；最后在 sshd_config 里禁用密码登录。

案例 3：公司网络连不上 22，但家里可以

背景：办公防火墙屏蔽 22 出站。

处理：临时把 SSH 改到 2222（安全组与 sshd 同时调整），办公网络恢复可连。后续使用堡垒机，将对外端口限制为公司出口 IP。

十、团队使用与安全加固建议（在不增加复杂度的前提下）

• 为每个成员创建独立系统用户与公钥；使用 sudo 管理权限。禁止多人共用 root 密钥。
• 腾讯云渠道折扣 SSH 服务：
  • PasswordAuthentication no（验证密钥登录稳定后再启用）。
  • 更换默认端口（安全组同步）；配合 Fail2ban/GeoIP 限制。
  • 启用 ClientAliveInterval 和 ClientAliveCountMax 以便空闲断开。
• 安全组：按需开放 22 给固定办公 IP/堡垒机子网；临时访问用一次性规则，过期自动清理。
• 密钥管理：定期轮换；丢失私钥立即在控制台替换；企业可引入硬件密钥（如 FIDO2/U2F，需验证镜像与 SSH 版本支持）。
• 备份通道：保留一个应急用户，密钥存放在独立保险库，避免单点私钥丢失导致全员无法登录。

十一、FAQ：首登常问的十个问题

1. 必须先创建密钥再买实例吗？
   不必须。也可在开机向导中现选“新建密钥”。但团队规范建议先统一命名与归档。
2. 可以用自已有的公钥吗？
   可以。确保 ssh-rsa 或 ssh-ed25519 公钥一行完整无换行。部分 sk-*（安全密钥）类型在控制台导入兼容性不一致，建议先在系统内手动追加验证。
3. 没有公网 IP 如何登录？
   选项：1）绑定 EIP；2）在相同 VPC 内用一台有公网的跳板机；3）开通 VPN/专线；4）若区域支持公网 IPv6，可走 IPv6 登录。
4. Windows 实例能用密钥吗？
   本文聚焦 Linux。Windows 建议 RDP + 强密码或证书，生产环境配合堡垒机。
5. 更换密钥会重启吗？
   控制台绑定/替换密钥通常要求实例停止后操作，属于短期停机变更。在线追加公钥不影响业务。
6. 忘了用户名怎么办？
   Ubuntu 常用 ubuntu，CentOS/Debian 常用 root。第三方镜像查看镜像说明或 /etc/cloud/cloud.cfg 的 default_user。
7. 密钥文件应该放哪里？
   本机 ~/.ssh 目录（权限 700）。私钥权限 400 或 600；不要上传到服务器。
8. 是否需要把 22 暴露到全网？
   不建议。起步就限制为办公出口 IP；动态办公可临时放开小范围网段，事后收紧。
9. 按量付费会不会很贵？
   首登阶段按量 + 小带宽最稳，日成本受实例规格与带宽影响。连续稳定运行后再改包月。注意 EIP 空闲也可能收费，未使用时释放或降配。
10. 新用户优惠券用不上？
    券有地域/机型/计费模式限制。下单前确认券适用条件；不确定时用按量先测通路。

十二、从零到首登的一页勾选清单

• 账号：完成 KYC，绑定可 3DS 的卡或 PayPal。
• 密钥：控制台创建或导入；下载 .pem；Windows 用户准备 PuTTYgen 或启用 OpenSSH。
• 购买：选择近区；登录方式选“密钥对+仅密钥”；购买公网能力（带宽或 EIP）。
• 安全组：入站仅放通 22 给你的出口 IP；出站允许必要端口。
• 登录：确认用户名；私钥权限 400；ssh -i key.pem user@IP 首登验证。
• 腾讯云渠道折扣 加固：验证成功后在 sshd_config 禁用密码；添加团队用户与各自公钥；设置快照策略。
• 续费：开启自动续费提醒；确保卡片 3DS 可用与余额充足。

十三、收尾建议（基于实际项目经验）

• 买第一台机器时就把“仅密钥登录”和“安全组最小暴露”做成标准。后期批量复制实例会省很多事。
• 把“控制台绑定密钥”作为丢失私钥的兜底方案；但一旦切换成功，立刻回收旧密钥，避免双密钥长期并存。
• 跨国团队统一使用堡垒机或零信任入口，SSH 端口不对公网开放，减少被扫面与告警压力。
• 账务与风控问题不要硬刷卡，多走工单说明用途与合规，长期更稳。