阿里雲SSH金鑰組是一種安全便捷的登入認證方式,用於在SSH協議中進行身分識別驗證和加密通訊。由公開金鑰和私密金鑰組成且僅支援Linux執行個體,滿足您對更高安全性、便利性和自動化能力的業務需求。通過SSH金鑰組,您可以實現免密碼遠程登入,並在無需人工幹預的情況下進行安全的自動化操作,實現伺服器配置和應用程式部署的自動化。
SSH金鑰組介紹
SSH金鑰組通過密碼編譯演算法產生一對密鑰,預設採用RSA 2048位的加密方式。要使用SSH金鑰組登入Linux執行個體,您必須先建立一個金鑰組,並在建立執行個體時指定金鑰組或者建立執行個體後綁定金鑰組,然後使用私密金鑰串連執行個體。
成功建立SSH金鑰組後:
阿里雲會儲存SSH金鑰組的公開金鑰部分。在Linux執行個體中,公開金鑰內容放在~/.ssh/authorized_keys檔案中。
您需要下載並妥善保管私密金鑰。私密金鑰使用未加密的PEM(Privacy-Enhanced Mail)編碼的
PKCS#8
格式。
功能優勢
相較於使用者名稱和密碼認證方式,使用SSH金鑰組認證方式有以下優勢:
安全性:使用SSH金鑰組登入認證更為安全可靠。
SSH金鑰組安全強度遠高於常規使用者口令,可以杜絕暴力破解威脅。
無法通過公開金鑰推匯出私密金鑰。
便捷性:
如果您將公開金鑰配置在Linux執行個體中,那麼,在本地或者另外一台執行個體中,您可以無需輸入密碼,直接使用私密金鑰通過SSH命令或相關工具登入目標執行個體。
支援遠程登入大量Linux執行個體,更加方便地管理您的執行個體。如果您需要批量維護多台Linux執行個體,推薦使用這種方式登入。
使用限制
使用SSH金鑰組有如下限制:
僅支援Linux執行個體。
支援使用建立Linux執行個體時設定的登入使用者root或ecs-user(部分鏡像暫不支援ecs-user,具體以執行個體購買頁面為準)通過SSH金鑰組登入執行個體。具體操作,請參見通過密碼或密鑰認證登入Linux執行個體或通過密鑰認證登入Linux執行個體。
如果您需要使用在Linux執行個體上自建的使用者通過SSH金鑰組登入執行個體,則您需要將~/.ssh/authorized_keys檔案拷貝到該使用者的.ssh目錄下,才能登入Linux執行個體。具體操作,請參見自建使用者通過SSH金鑰組登入Linux執行個體。
如果使用SSH金鑰組登入Linux執行個體,將會禁用密碼登入,以提高安全性。
目前,ECS只支援建立2048位的RSA金鑰組。
一個阿里雲帳號在一個地區最多可以擁有500個金鑰組。
通過控制台綁定金鑰組時,一台Linux執行個體只能綁定一個金鑰組。
如果您的執行個體已綁定金鑰組,則綁定的新金鑰組會替換已有的舊金鑰組。
如果您需要使用多個金鑰組登入執行個體,則可以在執行個體內部手動修改~/.ssh/authorized_keys檔案,添加多個金鑰組,具體操作,請參見添加或替換金鑰組。
已停售的執行個體規格無法使用SSH金鑰組。更多資訊,請參見已停售的執行個體規格。
基於資料安全考慮,在執行個體狀態為運行中(
Running
)時綁定或解除綁定金鑰組,您需要重啟執行個體使操作生效。
產生方式
SSH金鑰組的產生方式包括:
由ECS產生,預設採用RSA 2048位的加密方式。具體操作,請參見建立SSH金鑰組。
重要如果您的金鑰組由ECS產生,那麼在首次產生金鑰組時,請務必下載並妥善儲存私密金鑰。當該金鑰組綁定某台執行個體時,如果沒有私密金鑰,您將無法登入執行個體。
由您採用SSH金鑰組產生器產生後再匯入ECS,匯入的金鑰組必須支援以下任意一種加密方式:
rsa
dsa
ssh-rsa
ssh-dss
ecdsa
ssh-rsa-cert-v00@openssh.com
ssh-dss-cert-v00@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com