《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(上):ECS 进阶概念-安全(1) https://developer.aliyun.com/article/1231562?groupCode=supportservice
二、 进阶概念
1. SSH 密钥对
• SSH 密钥对通过加密算法生成一对密钥,默认采用 RSA 2048 位的加密方式。
• 要使用 SSH 密钥对登录 Linux 实例,必须先创建一个密钥对,并在创建实例时指定密钥对,或者创建实例后绑定密钥对,然后使用私钥连接实例。
1) 成功创建 SSH 密钥对后
• 云服务商会保存 SSH 密钥对的公钥部分。在 Linux 实例中,公钥内容放在
~/ssh/authorized keys 文件内。
• 用户需要下载并妥善保管私钥。私钥使用未加密的 PEM(Privacy-Enhanced
Mail)编码的 PKCS#8 格式。
2) SSH 登录过程
a) 准备阶段
• 生成密钥对。
• 将公钥信息写入目标服务器,目标用户的密钥验证文件中。
b) 证书验证登录交互
• 发送登录请求
• 登录用户有密钥登录配置信息,采用密钥验证
• 生成一串随机数,然后使用公钥加密
• 返回加密信息
• 使用本地私钥解密
• 解密成功,发送解密后的信息(解密失败,发送密码验证登录请求)
• 解密信息比对(比对失败,发送密码验证登录请求)
• 信息有效,允许登录
• 成功登录服务器
c) 密码验证登录
• 发送登录请求
……
SSH 密钥对实践
• 需求
ABC 三个业务,AC 两个业务分属不同团队维护,相互禁止登录对方业务主
机,B 业务是一个公共的业务,允许两个业务团队都能登录主机操作。
• 步骤
为管理员分配独立密钥对,并对主机做好分组。
针对业务情况给不同业务的主机绑定指定的密钥对。
结合 OOS 运维编排模板,可以自动批量的根据主机 Tag 执行绑定密钥对,
实现自动化运维。
结合启动模板可以给不同业务配置不同启动模板,扩容业务时候用启动模
板,也能自动关联对应密钥对。
2. 数据安全
在遇到病毒攻击如勒索病毒,或由于程序员误操作情况下,经常会使用到快照、镜像等方式进行备份、数据恢复。
• 容灾备份:为云盘创建快照,再使用快照创建云盘获取基础数据,实现同城容灾和异地容灾。
• 环境复杂:使用系统盘快照创建自定义镜像,再使用自定义镜像创建 ECS 实例,实现环境复制。
• 数据开发:为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。
《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(上):ECS 进阶概念-安全(3) https://developer.aliyun.com/article/1231560?groupCode=supportservice
