课程目录
• SSH 密钥对
• 堡垒机
• RAM 权限策略
一、 SSH 密钥对
1. 创建 SSH 密钥对
1) 操作步骤
a) 登录 ECS 管理控制台,https://ecs.console.aliyun.com
b) 在左侧导航栏,选择网络与安全>密钥对
c) 在顶部菜单栏左上角处,选择地域
d) 单击创建密钥对
e) 在创建密钥对页面,完成以下配置:
• 密钥对名称:密钥对名称不能和已有密钥对重复。长度为 2~128 个字符,不能以特殊字符及数字开头,只可包含特殊字符中的英文句号(.)、下划线(
_)、短划线(-)和冒号(:)。
• 创建类型:可以选择以下任一类型创建密钥对。建议选择自动新建密钥对,并及时保存私钥。
自动新建密钥对:系统会自动创建密钥对。创建完成后将自动下载私钥,用
户只有这一次下载私钥的机会,因此请妥善保存私钥文件。
导入已有密钥对:用户也可以自行导入 Base64 编码的公钥内容。
• 资源组:可以为密钥对指定一个资源组,实现对资源的分组管理。
资源组参考
https://help.aliyun.com/document_detail/100034.html
f) 单击确定
2) 执行结果
SSH 密钥对创建成功后,浏览器自动下载私钥文件(密钥对名称.pem)到本地电脑。
注意
私钥文件只在创建密钥对时自动下载到本地,ECS 控制台不会保存私钥文件。如果私钥文件丢失将无法找回,请妥善保存。
2. 绑定 SSH 密钥对
1) 操作步骤
a) 登录 ECS 管理控制台,https://ecs.console.aliyun.com
b) 在左侧导航栏,单击网络与安全>密钥对
c) 在顶部菜单栏左上角处,选择地域
d) 找到需要操作的密钥对,在操作列中,单击绑定密钥对
e) 在选择 ECS 实例栏中,选中需要绑定该密钥对的 ECS 实例名称,单击>图标,移入已选择栏中
注意
如果选择ECS实例栏中的ECS实例名称显示为灰色,表示该实例为Windows实例,不支持 SSH 密钥对。
f) 单击确定
g) 如果 ECS 实例处于运行中(Running)状态,重启实例使操作生效:
• 在左侧导航栏,单击实例与镜像>实例
• 找到需要操作的实例,在操作列中,选择更多>实例状态>重启
• 在重启实例弹窗中,单击确定
注意
此处重启请使用控制台重启,在机器内部重启不会触发该动作。
3. 通过密钥认证登录 Linux 实例
1) 操作步骤
a) 找到.pem 私钥文件在本地机上的存储路径,例如~/.ssh/ecs.pem(此处路径和文件名称仅为示例,在后续命令中请根据实际情况修改)
b) 运行以下命令修改私钥文件的属性:
• chmod 400 [.pem 私钥文件在本地机上的存储路径]
注
该文件属性权限太高则会提示 Permission denied
c) 运行以下命令连接至实例:
• ssh-i[.pem 私钥文件在本地机上的存储路径]root@[公网 IP 地址]
注
当未指定 pem 私钥文件在本地机上的存储路径时,会默认使用~/.ssh/id_rsa 文件
2) 其他注意事项
a) 通过以下命令查看服务器接受的登录方式:
• ssh root@[公网 IP 地址]-vvv
publickey:密钥对登录
keyboard-interactive,password:键盘交互的密码登录方式
b) 在控制台绑定密钥对的时候,会自动禁用密码登录方式。
《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(下):ECS 安全操作演示(2) https://developer.aliyun.com/article/1231489?groupCode=supportservice
