EC2: nhiều khóa ssh cho một ví dụ?

Có thể tạo nhiều hơn một khóa riêng để SSH vào một phiên bản EC2 không? Thực hành tốt nhất cho việc này là gì? Chúng tôi có nhiều người dùng cần SSH vào máy chủ và phân phối một khóa không hoạt động tốt. Điều này không cho phép chúng tôi xóa người dùng khỏi khả năng SSH vào máy chủ trừ khi chúng tôi thay đổi khóa và phân phối lại.

Chắc chắn rồi; bạn chỉ cần đặt tất cả các khóa công khai có liên quan vào hình ảnh và bạn sẽ đi đúng. Tôi thích sử dụng một hệ thống quản lý cấu hình để quản lý các khóa SSH; theo cách đó, nó khá tầm thường để thu hồi quyền truy cập của người dùng ngay cả trên các hệ thống đang chạy. Ngoài ra còn có nhiều hơn nữa ... giả sử "cách tưởng tượng" ... cách xử lý việc này, chẳng hạn như lưu trữ tất cả các khóa SSH của bạn trong LDAP, tập trung các khóa SSH như bất kỳ thông tin xác thực nào khác.

Bạn cũng có thể sử dụng các cơ chế ssh tiêu chuẩn. Cách tiếp cận tốt nhất sẽ là nếu người dùng chạy trên máy của họ ssh-keygenđể tạo cặp khóa của họ. Sau đó, họ gửi cho bạn ~/.ssh/id_rsa.pub(hoặc id_dsa.pub, tùy thuộc vào thuật toán đã chọn) và bạn thêm nội dung của nó .ssh/authorized_keysvào máy chủ đích trong thư mục chính của tài khoản người dùng mà họ có thể truy cập. Có thể có nhiều hơn một khóa trong tệp. Một trên mỗi dòng. Và đó là tất cả! Có thể sử dụng cùng một khóa chung (id_rsa.pub) trên bất kỳ số lượng máy chủ nào - nó sẽ luôn xác định người dùng.

Bạn cũng có thể thực hiện theo cách khác - bạn chạy ssh-keygen và đăng ~ / .ssh / id_rsa (hoặc id_dsa) cho người dùng. Và người dùng lưu tệp vào ~ / .ssh / id_rsa. Chỉ cần nhớ thay đổi quyền thành 600 (-rw -------) của tệp đó, nếu không ssh sẽ không chấp nhận. Điều này rõ ràng là kém an toàn hơn, vì khóa riêng đang được phân phối qua email.

Nó cũng có thể được thực hiện trong PuTTY với PuTTYgen.

Một cách đơn giản hơn là như dưới đây.

Đối với người dùng Linux / Mac:

1. Để tạo khóa Công khai và Riêng tư, hãy sử dụng lệnh sau: $ ssh-keygen -t rsa -b 4096

2. Tải khóa công khai lên một thư mục trong nhóm S3 của bạn. Ví dụ: S3> MyBucket> Key Pair

3. Lưu và bảo mật khóa riêng của bạn.

Đối với người dùng Windows:

1. Sử dụng puttygen để tạo các khóa.
2. Theo dõi DigitalOcean để tạo các khóa SSH.
3. Tải khóa công khai lên S3> MyBucket> Khóa tuyệt vời
4. Lưu và bảo mật khóa riêng của bạn.

Các bước sau đây rất quan trọng trong quá trình khởi chạy bất kỳ Linux AMI nào.

1. Đảm bảo vai trò IAM có vai trò được tạo bằng chính sách AmazonS3FullAccess. Điều này cho phép cá thể đảm nhận vai trò truy cập vào các thùng S3. Điều này là cần thiết để đọc các khóa công khai từ S3 và sao chép chúng vào hồ sơ người dùng

2. Thêm mã sau vào phần dữ liệu người dùng trong Cấu hình chi tiết sơ thẩm> Chi tiết nâng cao (dưới dạng Văn bản):

   #!/bin/bash
   usermod user 1
   usermod -aG wheel user1
   mkdir /home/user1/.ssh/
   aws s3 cp s3://MyBucket    /Keypair/user1-pub.pub /home/user1/.ssh/authorized_keys
   
   useradd user2
   usermod -aG wheel user2
   mkdir /home/user2/.ssh/
   aws s3 cp s3://MyBucket   /Keypair/user2-pub.pub /home/user2/.ssh/authorized_keys
   
   sudo -i 
   echo “user1 ALL=(ALL) NOPASSWD:ALL” >> /etc/sudoers
   echo “user2 ALL=(ALL) NOPASSWD:ALL” >> /etc/sudoers
   
   yum update -y
   

Thiết lập này tạo User1 và User2 và thêm chúng cho người dùng sudo . Lệnh aws s3 cp sao chép các khóa công khai của người dùng từ thư mục S3 sang thư mục của họ .ssh/authorized_keys path. Phần cuối cùng là chạy các lệnh như quản trị viên mà không cần mật khẩu.

Có rất nhiều cải tiến bảo mật có thể được khuyến nghị ở đây. Mặc dù không được sử dụng rõ ràng trong ví dụ này, việc giới hạn quyền truy cập nhóm S3 vào một nhóm cụ thể và biết ý nghĩa bảo mật của việc vô hiệu hóa việc sử dụng mật khẩu trong sudo, là một vài điều có thể được làm nổi bật. Sử dụng chúng một cách khôn ngoan dựa trên nhu cầu cụ thể của bạn.