全部產品
Search
文件中心

Elastic Compute Service:SSH金鑰組概述

更新時間:Jun 19, 2024

阿里雲SSH金鑰組是一種安全便捷的登入認證方式,用於在SSH協議中進行身分識別驗證和加密通訊。由公開金鑰和私密金鑰組成且僅支援Linux執行個體,滿足您對更高安全性、便利性和自動化能力的業務需求。通過SSH金鑰組,您可以實現免密碼遠程登入,並在無需人工幹預的情況下進行安全的自動化操作,實現伺服器配置和應用程式部署的自動化。

SSH金鑰組介紹

SSH金鑰組通過密碼編譯演算法產生一對密鑰,預設採用RSA 2048位的加密方式。要使用SSH金鑰組登入Linux執行個體,您必須先建立一個金鑰組,並在建立執行個體時指定金鑰組或者建立執行個體後綁定金鑰組,然後使用私密金鑰串連執行個體。

成功建立SSH金鑰組後:

  • 阿里雲會儲存SSH金鑰組的公開金鑰部分。在Linux執行個體中,公開金鑰內容放在~/.ssh/authorized_keys檔案中。

  • 您需要下載並妥善保管私密金鑰。私密金鑰使用未加密的PEM(Privacy-Enhanced Mail)編碼的PKCS#8格式。

功能優勢

相較於使用者名稱和密碼認證方式,使用SSH金鑰組認證方式有以下優勢:

  • 安全性:使用SSH金鑰組登入認證更為安全可靠。

    • SSH金鑰組安全強度遠高於常規使用者口令,可以杜絕暴力破解威脅。

    • 無法通過公開金鑰推匯出私密金鑰。

  • 便捷性:

    • 如果您將公開金鑰配置在Linux執行個體中,那麼,在本地或者另外一台執行個體中,您可以無需輸入密碼,直接使用私密金鑰通過SSH命令或相關工具登入目標執行個體。

    • 支援遠程登入大量Linux執行個體,更加方便地管理您的執行個體。如果您需要批量維護多台Linux執行個體,推薦使用這種方式登入。

使用限制

使用SSH金鑰組有如下限制:

  • 僅支援Linux執行個體。

  • 如果使用SSH金鑰組登入Linux執行個體,將會禁用密碼登入,以提高安全性。

  • 目前,ECS只支援建立2048位的RSA金鑰組。

  • 一個阿里雲帳號在一個地區最多可以擁有500個金鑰組。

  • 通過控制台綁定金鑰組時,一台Linux執行個體只能綁定一個金鑰組。

    • 如果您的執行個體已綁定金鑰組,則綁定的新金鑰組會替換已有的舊金鑰組。

    • 如果您需要使用多個金鑰組登入執行個體,則可以在執行個體內部手動修改~/.ssh/authorized_keys檔案,添加多個金鑰組,具體操作,請參見添加或替換金鑰組

  • 已停售的執行個體規格無法使用SSH金鑰組。更多資訊,請參見已停售的執行個體規格

  • 基於資料安全考慮,在執行個體狀態為運行中Running)時綁定或解除綁定金鑰組,您需要重啟執行個體使操作生效。

產生方式

SSH金鑰組的產生方式包括:

  • 由ECS產生,預設採用RSA 2048位的加密方式。具體操作,請參見建立SSH金鑰組

    重要

    如果您的金鑰組由ECS產生,那麼在首次產生金鑰組時,請務必下載並妥善儲存私密金鑰。當該金鑰組綁定某台執行個體時,如果沒有私密金鑰,您將無法登入執行個體。

  • 由您採用SSH金鑰組產生器產生後再匯入ECS,匯入的金鑰組必須支援以下任意一種加密方式:

    • rsa

    • dsa

    • ssh-rsa

    • ssh-dss

    • ecdsa

    • ssh-rsa-cert-v00@openssh.com

    • ssh-dss-cert-v00@openssh.com

    • ssh-rsa-cert-v01@openssh.com

    • ssh-dss-cert-v01@openssh.com

    • ecdsa-sha2-nistp256-cert-v01@openssh.com

    • ecdsa-sha2-nistp384-cert-v01@openssh.com

    • ecdsa-sha2-nistp521-cert-v01@openssh.com