Mật khẩu Windows sẽ không giải mã được trên AWS EC2 ngay cả với khóa riêng đúng

Tôi đã tạo một phiên bản Windows mới trên AWS EC2, bằng cách sử dụng khóa ghép mà tôi đã tạo bằng cách tải lên khóa công khai từ máy cục bộ của mình.

Ví dụ đã khởi chạy tốt, nhưng nó sẽ không giải mã được mật khẩu. Nó báo cáo:

Tôi chắc chắn tôi đã tải lên khóa chính xác. Tôi đã xác minh rằng dấu vân tay khớp với định dạng vân tay lạ mà AWS sử dụng . Nhưng nó sẽ không giải mã được.

Tôi đã thử tải lên tệp chính và dán nó vào biểu mẫu.

Cuối cùng tôi đã nhận ra rằng nó không tước dòng mới, và xóa dòng trống trong khóa. Điều đó chỉ khiến tôi gặp phải một lỗi mới khi tôi nhấp vào "Giải mã mật khẩu", mặc dù:

Quản lý khóa của AWS EC2 không đối phó với các khóa riêng SSH có mật khẩu được đặt (được mã hóa). Nó không phát hiện ra điều này và chỉ đơn giản là thất bại với một lỗi không chính xác.

Nếu khóa riêng của bạn được lưu trữ được mã hóa trên đĩa (giống như vậy, IMO), bạn phải giải mã nó để dán vào bảng điều khiển của AWS.

Thay vì làm điều đó, hãy xem xét giải mã mật khẩu cục bộ, vì vậy bạn không phải gửi khóa riêng của mình đến AWS. Lấy dữ liệu mật khẩu được mã hóa (mã hóa base64) từ nhật ký máy chủ sau khi khởi động hoặc sử dụng get-password-data hoặc các yêu cầu API tương ứng.

Sau đó, bạn có thể giải mã Base64 và giải mã kết quả:

base64 -d /tmp/file | openssl rsautl -decrypt -inkey /path/to/aws/private/key.pem

(Khóa riêng OpenSSH được chấp nhận bởi openssl rsautl).

Vấn đề với thất bại trong việc xử lý các mật khẩu khóa bảo vệ với một lỗi hữu ích cũng ảnh hưởng đến các ec2-get-passwordlệnh .

Xem thêm:

• Windows EC2 - Nhận mật khẩu quản trị viên
• giải mã mật khẩu với OpenSSL
• báo cáo lỗi trên các diễn đàn AWS - vui lòng bấm chuông.

Không sử dụng jq, điều này vẫn có thể nhưng yêu cầu một số phân tích bổ sung của dữ liệu được trả về.

aws ec2 get-password-data "--instance-id=${instance_id}" --query 'PasswordData' | sed 's/\"\\r\\n//' | sed 's/\\r\\n\"//' | base64 -D | openssl rsautl -inkey ${my_key} -decrypt

Đây là những gì làm việc cho tôi trong macOS:

openssl rsa -in $HOME/.ssh/aws-remote -out /Users/home/desktop/unencrypted-rsa.txt

Lưu ý rằng bạn có thể biết liệu tệp .pem của mình có được mã hóa bằng mật khẩu hay không bằng cách tìm dòng sau. Nếu có, bạn cần giải mã nó trước khi sử dụng với Amazon:

Proc-Type: 4,ENCRYPTED

Trên máy Mac của tôi, các đối số dòng lệnh cho base64 là khác nhau.

Điều này làm việc cho tôi:

base64 -D -i /tmp/file | openssl rsautl -decrypt -inkey /path/to/key.pem

1. đi đến bảng điều khiển ec2
2. xóa khóa hiện có
3. tạo một cặp chìa khóa mới
4. chọn một cái tên
5. tải về và giữ nó ở địa phương
6. khởi động thể hiện và tải xuống bản sao windows của bạn
7. Đặt tên cho khóa mới với tên được sử dụng trong bước 4
8. sử dụng khóa mới được tạo này để giải mã mật khẩu

cái này sẽ hoạt động