《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章（上）：ECS 进阶概念-安全（1） https://developer.aliyun.com/article/1231562?groupCode=supportservice

二、 进阶概念

1. SSH 密钥对

• SSH 密钥对通过加密算法生成一对密钥，默认采用 RSA 2048 位的加密方式。

• 要使用 SSH 密钥对登录 Linux 实例，必须先创建一个密钥对，并在创建实例时指定密钥对，或者创建实例后绑定密钥对，然后使用私钥连接实例。

1) 成功创建 SSH 密钥对后

• 云服务商会保存 SSH 密钥对的公钥部分。在 Linux 实例中，公钥内容放在

~/ssh/authorized keys 文件内。

• 用户需要下载并妥善保管私钥。私钥使用未加密的 PEM（Privacy-Enhanced

Mail）编码的 PKCS#8 格式。

2) SSH 登录过程

a) 准备阶段

• 生成密钥对。

• 将公钥信息写入目标服务器，目标用户的密钥验证文件中。

b) 证书验证登录交互

• 发送登录请求

• 登录用户有密钥登录配置信息，采用密钥验证

• 生成一串随机数，然后使用公钥加密

• 返回加密信息

• 使用本地私钥解密

• 解密成功，发送解密后的信息（解密失败，发送密码验证登录请求）

• 解密信息比对（比对失败，发送密码验证登录请求）

• 信息有效，允许登录

• 成功登录服务器

c) 密码验证登录

• 发送登录请求

……

SSH 密钥对实践

• 需求

ABC 三个业务，AC 两个业务分属不同团队维护，相互禁止登录对方业务主

机，B 业务是一个公共的业务，允许两个业务团队都能登录主机操作。

• 步骤

为管理员分配独立密钥对，并对主机做好分组。

针对业务情况给不同业务的主机绑定指定的密钥对。

结合 OOS 运维编排模板，可以自动批量的根据主机 Tag 执行绑定密钥对，

实现自动化运维。

结合启动模板可以给不同业务配置不同启动模板，扩容业务时候用启动模

板，也能自动关联对应密钥对。

2. 数据安全

在遇到病毒攻击如勒索病毒，或由于程序员误操作情况下，经常会使用到快照、镜像等方式进行备份、数据恢复。

• 容灾备份：为云盘创建快照，再使用快照创建云盘获取基础数据，实现同城容灾和异地容灾。

• 环境复杂：使用系统盘快照创建自定义镜像，再使用自定义镜像创建 ECS 实例，实现环境复制。

• 数据开发：为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。

《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章（上）：ECS 进阶概念-安全（3） https://developer.aliyun.com/article/1231560?groupCode=supportservice