在串連執行個體時,首先需要完成身分識別驗證,確保只有授權使用者能夠訪問和管理伺服器資源,以增強安全性。建立執行個體時,您可以選擇一個系統預設的使用者作為初始登入使用者。執行個體建立完成後,即可用該使用者身份登入。本文將詳細介紹不同使用者的特點與區別,以及如何管理這些使用者和添加額外的遠端連線使用者。
Linux執行個體初始登入使用者
初始登入使用者說明
Linux執行個體的初始使用者是指您在建立Linux執行個體時設定的登入使用者,對於Linux執行個體,初始使用者可以設定為root
或ecs-user
。root
和ecs-user
說明如下。
root
Linux系統的超級使用者,在系統安裝時預設建立,擁有作業系統的所有許可權。root使用者不可被刪除。如果您需要使用其他使用者登入執行個體,請參見添加更多用於遠端連線的使用者。
ecs-user(推薦)
Linux系統的一個普通使用者,沒有系統級的許可權,只能執行被授權的操作,但可以通過使用
sudo
命令臨時獲得root許可權執行操作。部分作業系統支援使用ecs-user作為初始登入使用者。
在系統安裝時,root使用者會自動建立,如果您在建立執行個體時選擇使用ecs-user作為登入名稱,會自動在您執行個體內部的作業系統中建立ecs-user使用者,也就是說同時存在root和ecs-user使用者,但root不用於登入執行個體。
使用root使用者登入可能會導致安全風險。阿里雲雲端式伺服器安全考慮,建議您在支援普通使用者ecs-user的作業系統鏡像中,使用ecs-user作為初始登入使用者。
支援ecs-user的作業系統鏡像請以控制台介面為準,或者通過DescribeImages介面查看鏡像資訊,若在返回的鏡像資訊中
LoginAsNonRootSupported
欄位為true
,則支援ecs-user作為初始使用者。
登入憑證說明
在建立執行個體時,您可以為初始登入使用者佈建登入憑證,包括金鑰組、自訂密碼以及建立後設定三個選項,區別如下:
金鑰組(推薦)
用於遠端連線(SSH方式)使用的認證方式,分為公開金鑰和私密金鑰,公開金鑰儲存在執行個體中,私密金鑰由您自行儲存,在認證過程中,密鑰不會直接傳輸,相比於密碼認證更安全。
重要如果在建立執行個體時選擇金鑰組作為登入憑證,密碼登入選項預設會被禁用,即預設無法通過使用者名稱和密碼登入執行個體。此時如果您通過VNC登入執行個體,需要先設定登入密碼。設定登入密碼的操作,請參見重設初始使用者的密碼(Linux/Windows)。
自訂密碼(不推薦)
用於遠端連線Linux執行個體時登入系統的密碼。
建立後設定
如果您選擇建立後設定選項,在建立執行個體時,會自動使用root使用者作為初始登入使用者,但不會開放登入,無法通過root使用者串連執行個體。如果您需要串連執行個體,您可以使用以下兩種方式串連:
方式一:先設定執行個體登入密碼或為執行個體綁定金鑰組,通過密碼/金鑰組登入執行個體。設定執行個體登入密碼以及綁定金鑰組的操作,請參見重設初始使用者的金鑰組(Linux)、重設初始使用者的密碼(Linux/Windows)。
方式二:無需設定密碼,開啟雲助手功能的執行個體,可以使用會話管理免密登入執行個體。
通過會話管理登入執行個體時,使用的使用者為ecs-assist-user,更多資訊,請參見在控制台通過會話管理串連執行個體。
Windows執行個體初始登入使用者
初始登入使用者說明
Windows的初始使用者是指您在建立Windows執行個體時設定的登入使用者,對於Windows執行個體,初始使用者為administrator。該使用者是Windows使用者的超級管理員,擁有整個Windows系統的所有操作許可權。對於初始使用者的管理,包括密碼修改可以在控制台操作,請參見重設初始使用者的密碼(Linux/Windows)。
登入憑證說明
在建立執行個體時,您可以為初始登入使用者佈建登入憑證,包括自訂密碼、建立後設定兩個選項,具體說明如下:
自訂密碼
用於遠端連線Windows執行個體時登入系統的密碼。
建立後設定
如果您選擇建立後設定選項,在建立執行個體時,不會為administrator設定密碼,如果您需要串連執行個體,您可以使用以下兩種方式串連:
方式一:先設定執行個體登入密碼,然後通過administrator和該密碼遠端連線執行個體。設定執行個體的登入密碼,請參見重設初始使用者的密碼(Linux/Windows)。
方式二:無需設定密碼,開啟雲助手功能的執行個體,可以使用會話管理免密登入執行個體。
通過會話管理登入執行個體時,使用的使用者為system,更多資訊,請參見在控制台通過會話管理串連執行個體。
管理執行個體初始使用者的憑證
當您的執行個體建立完成後,您可以在阿里雲控制台中管理初始使用者的密碼或金鑰組等資訊。
重設初始使用者的金鑰組(Linux)
您可以在阿里雲控制台修改初始使用者的金鑰組。具體操作如下:
建立金鑰組。
綁定金鑰組。
在金鑰組頁面,找到步驟1建立的金鑰組,在對應操作列下,單擊綁定金鑰組,進入綁定金鑰組頁面。
在綁定金鑰組頁面,選擇需要綁定的ECS執行個體,然後單擊下一步。
設定合適的重啟方式後,單擊確認。等待執行個體重啟完畢後,金鑰組生效。
重設初始使用者的密碼(Linux/Windows)
您可以在阿里雲控制台修改初始使用者的登入密碼。具體操作如下:
進入阿里雲ECS控制台,找到待修改密碼的執行個體,進入修改密碼頁面。
登入ECS管理主控台。
在左側導覽列,選擇 。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在執行個體列表頁面,找到需要修改密碼的執行個體,單擊對應操作列下的
。
在彈出重設執行個體密碼頁面,修改執行個體登入密碼。
配置項說明:
登入名稱:該項預設為您ECS執行個體的初始使用者的使用者名稱,無需修改。
新密碼/確認密碼:根據介面提示設定新密碼。
重設密碼的方式:
線上重設密碼(推薦):修改密碼後,無需重啟執行個體,但需要執行個體安裝雲助手Agent,線上重設密碼支援重設執行個體其他使用者的密碼。
2017年12月01日之後使用阿里雲公用鏡像建立的ECS執行個體,預設預裝了雲助手Agent,如何安裝,請參見安裝雲助手Agent。
離線重設密碼:修改密碼後,需要重啟執行個體。不需要執行個體安裝雲助手。但離線重設密碼的方式僅支援重設執行個體初始使用者的密碼。如果不想
配置SSH密碼登入策略(僅Linux系統的執行個體需關注該配置項):
開啟(推薦):若您需要通過SSH密碼認證的方式串連到Linux執行個體,請選擇開啟。
選擇該選項,會調整您使用者的SSH配置,開啟SSH的密碼登入功能,即自動化佈建
/etc/ssh/sshd_config
中的PasswordAuthentication
為true
。保持原有設定:如果您不需要通過SSH密碼認證的方式串連到執行個體(比如通過VNC串連),可以使用此選項。該選項表示僅更改執行個體內部作業系統中使用者的登入密碼。
選擇該選項,會保持原有的SSH配置不變,如果之前您的SSH設定檔中的
PasswordAuthentication
為false,可能無法通過SSH密碼認證的方式串連到執行個體Linux執行個體。
確認資訊後單擊確認修改完成重設密碼的操作。
添加更多用於遠端連線的使用者
如果您需要建立更多用於遠端連線執行個體的使用者,您可以參考以下步驟,在作業系統內部建立普通使用者並開啟遠端連線。
Linux執行個體
在Linux執行個體中,添加遠端連線使用者後需要檢查SSH的設定檔/etc/ssh/sshd_config
。
使用金鑰組登入時(SSH方式),必須開啟SSH金鑰組認證的功能,即保證SSH配置中的
PubkeyAuthentication
配置項為yes,已包含在下面操作步驟中。使用密碼登入時(SSH方式),必須開啟SSH密碼認證的功能,即保證SSH配置中的
PasswordAuthentication
配置項為yes,已包含在下面的操作步驟中。使用VNC方式以及會話管理方式登入時對該設定檔無要求。
本樣本以建立新使用者exampleuser為例。
串連到ECS執行個體。
選擇合適的方式串連到ECS執行個體,具體操作,請參見2.1 通過SSH的方式串連執行個體(Linux)或2.3 通過會話管理串連執行個體(Linux/Windows)。
建立使用者。
輸入以下命令建立使用者:
sudo useradd -m <username>
<username>
是您準備建立使用者的使用者名稱,例如建立exampleuser
可使用以下命令。sudo useradd -m exampleuser
密碼/金鑰組設定。
設定金鑰組
金鑰組分為公開金鑰和私密金鑰,公開金鑰需要儲存在您的執行個體中,私密金鑰需要您自行儲存,登入時需要用到私密金鑰。
準備金鑰組。
您可以使用您已有的金鑰組,或者建立新的金鑰組,建立金鑰組操作如下。
配置公開金鑰到
authorized_keys
設定檔。將公開金鑰裡的內容複寫到執行個體對應使用者根路徑下的
.ssh/authorized_keys
檔案中。在使用者目錄下建立.ssh檔案夾。命令如下:
sudo mkdir /home/<username>/.ssh
<username>
是您步驟2中建立的使用者的使用者名稱,例如您在第一步中建立了exampleuser
您可以使用以下命令編輯該使用者的設定檔。sudo mkdir /home/exampleuser/.ssh
在建立使用者的根路徑下建立
.ssh/authorized_keys
設定檔,並將您在步驟a中產生的公開金鑰檔案(id_rsa.pub
)的內容複寫到該設定檔中。設定檔的絕對位置及名稱如下:/home/<username>/.ssh/authorized_keys
<username>
是您步驟2中建立的使用者的使用者名稱。例如您在第一步中建立了exampleuser
,設定檔的絕對位置及名稱為:/home/exampleuser/.ssh/authorized_keys
您可以通過vim編輯器完成檔案修改操作,關於vim的用法,請參見Vim編輯器。
修改
.ssh
目錄和authorized_keys
檔案的許可權。sudo chmod 700 /home/<username>/.ssh sudo chmod 600 /home/<username>/.ssh/authorized_keys
<username>
是您步驟2中建立的使用者的使用者名稱。例如您在第一步中建立了exampleuser
,則輸入以下命令。sudo chmod 700 /home/exampleuser/.ssh sudo chmod 600 /home/exampleuser/.ssh/authorized_keys
檢查並修改SSH的
/etc/ssh/sshd_config
設定檔。在配置使用者金鑰組之後,需要配置SSH服務開啟金鑰組認證,需要修改SSH的設定檔
/etc/ssh/sshd_config
中的PubkeyAuthentication
參數為yes
。您可以通過vim編輯器完成該操作,關於vim的用法,請參見Vim編輯器。
輸入命令,重啟
sshd
服務,使配置生效。sudo systemctl restart sshd
設定密碼
重要為確保安全,請不要使用弱密碼作為使用者的登入密碼。
在執行個體中輸入以下命令設定密碼。
sudo passwd <username>
<username>
是您在步驟2中建立的使用者的使用者名稱。例如在步驟1中建立了exampleuser
,您可以使用以下命令完成設定密碼。sudo passwd exampleuser
根據介面提示輸入新密碼和確認密碼。
檢查並修改SSH的
/etc/ssh/sshd_config
設定檔。在配置使用者密碼之後,需要配置SSH服務開啟密碼認證,需要修改SSH的設定檔
/etc/ssh/sshd_config
中的PasswordAuthentication
參數為yes
。您可以通過vim編輯器完成該操作,關於vim的用法,請參見Vim編輯器。
輸入命令,重啟
sshd
服務,使配置生效。sudo systemctl restart sshd
(驗證)使用新建立的使用者遠程登入到ECS執行個體。
Windows執行個體
要在Windows執行個體中添加新的遠端連線使用者,需要先建立新使用者,並將其添加到Remote Desktop Users
使用者組。
如果您需要兩個以上的使用者同時遠程登入Windows執行個體,需要使用微軟的遠端桌面服務(Remote Desktop Services)的能力,更多關於遠端桌面服務的資訊,請參見Remote Desktop Services overview in Windows Server。
本樣本以在Windows Server 2022系統的執行個體建立新使用者exampleuser為例。不同版本的Windows系統介面可能存在差異。
串連到ECS執行個體。
選擇合適的方式串連到ECS執行個體,具體操作,請參見2.2 通過RDP的方式串連執行個體(Windows)。
建立使用者。
開啟控制台,找到使用者賬戶,單擊下面的更改賬戶類型。
在賬戶管理頁面,單擊添加使用者賬戶,進入添加使用者頁面。
在添加使用者頁面,根據介面提示,設定新使用者的使用者名稱及密碼。
本樣本以建立exampleuser為例,請您根據您的需求設定使用者名稱。
單擊下一步,然後單擊完成。完成新使用者的建立。
將新使用者添加到
Remote Desktop Users
使用者組。在工作列的搜尋方塊搜尋電腦管理,單擊搜尋到的電腦管理進入電腦管理頁面。
在
下,找到Remote Desktop Users使用者組。雙擊進入Remote Desktop Users屬性頁面。
操作流程如圖所示。
在Remote Desktop Users屬性頁面,單擊添加。
輸入步驟2中建立使用者的使用者名稱,單擊檢查名稱,之後輸入框會自動根據您輸入的使用者名稱稱補全使用者的名稱全稱。
單擊確定。在Remote Desktop Users屬性頁面依次單擊應用、確定。完成將使用者添加到使用者組的操作。
(驗證)使用新建立的使用者遠程登入到ECS執行個體。