Sichere EC2 Amazon-Instances, die aus Lightsail-Snapshots gestartet wurden - Amazon Lightsail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sichere EC2 Amazon-Instances, die aus Lightsail-Snapshots gestartet wurden

Amazon Lightsail und Amazon Elastic Compute Cloud (Amazon EC2) verwenden Public-Key-Kryptografie, um Anmeldeinformationen zu verschlüsseln und zu entschlüsseln. Bei der Kryptografie für öffentliche Schlüssel werden öffentliche Schlüssel eingesetzt, um Daten wie ein Passwort zu verschlüsseln. Der Empfänger entschlüsselt diese Daten dann mit einem privaten Schlüssel. Der öffentliche und der private Schlüssel werden als Schlüsselpaar bezeichnet.

Wenn Sie eine Linux- oder Unix-Lightsail-Instanz nach exportieren EC2, enthält die neue EC2 Instanz Restschlüssel aus dem Lightsail-Dienst. Als bewährte Methode für die Sicherheit sollten Sie nicht benutzte Schlüssel aus Ihrer Instance entfernen.

Um die Sicherheit einer Linux- oder Unix-Instance zu verbessern EC2 , die aus einem Lightsail-Snapshot erstellt wurde, empfehlen wir, dass Sie nach dem Erstellen der Instanz die folgenden Aktionen ausführen:

  • Entfernen und ersetzen Sie den Lightsail-Standardschlüssel, wenn Sie ihn verwendet haben, um eine Verbindung zur Quellinstanz in Lightsail herzustellen. Der Lightsail-Standardschlüssel ist in Ihrer EC2 Amazon-Instance nicht vorhanden, wenn Sie Ihren eigenen Schlüssel verwendet haben, um eine Verbindung zu Ihrer Instance herzustellen, oder wenn Sie einen Schlüssel für Ihre Instance in der Lightsail-Konsole erstellt haben.

  • Entfernen Sie den Lightsail-Systemschlüssel, der auch als Schlüssel bezeichnet wirdlightsail_instance_ca.pub. Dieser Schlüssel auf Linux- und Unix-Instances ermöglicht es dem browserbasierten Lightsail-SSH-Client, eine Verbindung herzustellen. Der lightsail_instance_ca.pub Schlüssel wird automatisch entfernt, wenn eine EC2 Instance mithilfe der Seite „ EC2 Amazon-Instance erstellen“ in der Lightsail-Konsole oder der Lightsail-API erstellt wird.

Inhalt

Erstellen Sie einen privaten Schlüssel mit Amazon EC2

Verwenden Sie die EC2 Amazon-Konsole, um ein neues key pair zu erstellen, mit dem Sie das Lightsail-Standardschlüsselpaar ersetzen können.

Um einen privaten Schlüssel mit Amazon zu erstellen EC2
  1. Melden Sie sich bei der EC2Amazon-Konsole an.

  2. Wählen Sie im linken Navigationsbereich Key Pairs (Schlüsselpaare).

  3. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

    Schlüsselpaare in der EC2 Amazon-Konsole.
  4. Geben Sie einen Namen für den Schlüssel in das Textfeld Key pair name (Schlüsselpaarname) ein und wählen Sie dann Create (Erstellen).

    Der neue private Schlüssel wird automatisch heruntergeladen. Notieren Sie sich, wo der private Schlüssel gespeichert wird. Sie benötigen es im folgenden TTYgen Abschnitt Erstellen Sie den öffentlichen Schlüssel mithilfe von Pu in diesem Handbuch, um einen öffentlichen Schlüssel zu erstellen.

    Erstellen Sie Schlüsselpaare in der EC2 Amazon-Konsole.

Erstellen Sie den öffentlichen Schlüssel mit Pu TTYgen

Pu TTYgen ist ein Tool, das in PuTTY enthalten ist. Verwenden Sie PuTTYgen , um den Text des öffentlichen Schlüssels zu generieren, den Sie später in diesem Handbuch zu Ihrer Instance hinzufügen.

Anmerkung

Weitere Informationen zur Konfiguration von PuTTY für die Connect Ihrer Linux- oder Unix-Instance finden Sie unter Verbindung zu einer Amazon EC2 Linux- oder Unix-Instance herstellen, die aus einem Lightsail-Snapshot erstellt wurde.

Um den öffentlichen Schlüssel mit Pu zu erstellen TTYgen
  1. Starten Sie PuTTYgen.

    Wählen Sie beispielsweise das Windows-Startmenü, wählen Sie Alle Programme, wählen Sie PuTTY und dann Pu TTYgen.

    PuTTY Key Generator.
  2. Wählen Sie Laden aus.

    Standardmäßig TTYgen zeigt Pu nur Dateien mit der Erweiterung.PPK an. Damit Sie die PEM-Datei finden, wählen Sie die Option zur Anzeige aller Dateitypen.

    Laden Sie den privaten Lightsail-Schlüssel in den PuTTY-Schlüsselgenerator.
  3. Navigieren Sie zum Speicherort Ihres privaten Schlüssels, der weiter oben in diesem Handbuch erstellt wurde. Wählen Sie den privaten Schlüssel und dann Open (Öffnen).

  4. Nachdem Pu TTYgen bestätigt hat, dass Sie den Schlüssel erfolgreich importiert haben, wählen Sie OK.

  5. Markieren Sie den Inhalt des Textfeldes Public key (Öffentlicher Schlüssel) und kopieren Sie ihn in die Zwischenablage, indem Sie Ctrl+C (Strg+C) drücken, wenn Sie Windows verwenden, oder Cmd+C, wenn Sie MacOS verwenden.

    Öffnen Sie einen Texteditor wie Notepad oder und fügen Sie den Text des öffentlichen Schlüssels ein TextEdit, indem Sie Strg+V drücken, wenn Sie Windows verwenden, oder Cmd+V, wenn Sie macOS verwenden. Speichern Sie die Datei mit Ihrem öffentlichen Schlüsseltext. Sie werden ihn später noch in diesem Handbuch benötigen.

    PuTTY Schlüsselgenerator.
  6. Fahren Sie mit dem EC2 Abschnitt Verbindung zu Ihrer Linux- oder Unix-Instance in Amazon herstellen in diesem Handbuch fort, um eine Verbindung zu Ihrer EC2 Instance herzustellen und den öffentlichen Schlüssel hinzuzufügen.

Connect zu Ihrer Linux- oder Unix-Instance in Amazon her EC2

Stellen Sie EC2 mithilfe von SSH Connect zu Ihrer Linux- oder Unix-Instance in Amazon her, um den Lightsail-Standardschlüssel und den Systemschlüssel zu entfernen. Weitere Informationen finden Sie unter Connect zu einer Linux- oder Unix-Instance in Amazon herstellen, die aus einem Amazon Lightsail-Snapshot EC2 erstellt wurde.

Fahren Sie mit dem Abschnitt Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance fort und testen Sie die Verbindung in diesem Handbuch, nachdem Sie mit Ihrer Instance in Amazon verbunden sind EC2.

Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der Verbindung

Der Inhalt des öffentlichen Schlüssels wird in der Datei ~/.ssh/authorized_keys auf Linux- und Unix-Instances gespeichert. Bearbeiten Sie die Datei, um den Lightsail-Standardschlüssel aus Ihrer Linux- oder Unix-Instance in Amazon zu entfernen und zu ersetzen. EC2

So fügen Sie den öffentlichen Schlüssel zu Ihrer Instance hinzu und testen die Verbindung
  1. Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um die Datei authorized_keys mit dem Vim-Texteditor zu bearbeiten.

    sudo vim ~/.ssh/authorized_keys
    Anmerkung

    Diese Schritte verwenden Vim zu Demonstrationszwecken. Sie können für diese Schritte jedoch jeden beliebigen Texteditor verwenden.

    Lightsail-Standardtaste.
  2. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  3. Geben Sie nach der Lightsail-Standardtaste eine zusätzliche Zeile ein.

  4. Kopieren und fügen Sie den Text des öffentlichen Schlüssels ein, den Sie zuvor diesem Handbuch folgend gespeichert haben.

    Das Ergebnis sollte wie folgt aussehen:

    Lightsail-Standardtaste.
  5. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  6. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Ihr neuer öffentlicher Schlüssel ist nun zu Ihrer Instance hinzugefügt. Um das neue Schlüsselpaar zu testen, trennen Sie die Verbindung zu Ihrer Instance. Konfigurieren Sie PuTTY so, dass Ihr neuer privater Schlüssel anstelle des Lightsail-Standardschlüssels verwendet wird. Wenn Sie mit Ihrem neuen key pair erfolgreich eine Verbindung zu Ihrer Instance herstellen können, fahren Sie mit dem Abschnitt Entfernen des Lightsail-Standardschlüssels in diesem Handbuch fort, um den Lightsail-Standardschlüssel zu entfernen.

Entfernen Sie den Lightsail-Standardschlüssel

Entfernen Sie den Lightsail-Standardschlüssel, nachdem Sie Ihrer Instance einen neuen öffentlichen Schlüssel hinzugefügt und mit dem neuen key pair erfolgreich eine Verbindung zu dieser hergestellt haben.

Um den Lightsail-Standardschlüssel zu entfernen
  1. Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um authorized_keys file mit dem Vim-Texteditor zu bearbeiten.

    sudo vim ~/.ssh/authorized_keys
  2. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  3. Löschen Sie die Zeile, die mit LightsailDefaultKeyPair endet. Dies ist der Lightsail-Standardschlüssel.

    Lightsail-Standardtaste.
  4. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  5. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Der Lightsail-Standardschlüssel ist jetzt aus Ihrer Instance entfernt. Ihre Instanz lehnt jetzt Verbindungen ab, die den Lightsail-Standardschlüssel verwenden. Fahren Sie mit dem Abschnitt Entfernen des Lightsail-Systemschlüssels in diesem Handbuch fort, um den Lightsail-Systemschlüssel zu entfernen.

Entfernen Sie den Lightsail-Systemschlüssel

Der Lightsail-Systemschlüssel, auch als Schlüssel bezeichnet, ermöglicht es dem lightsail_instance_ca.pub browserbasierten Lightsail-SSH-Client auf Linux- und Unix-Instances, eine Verbindung herzustellen. Führen Sie die folgenden Schritte aus, um den lightsail_instance_ca.pub Schlüssel aus Ihrer Linux- oder Unix-Instance in Amazon zu entfernen EC2, und bearbeiten Sie die /etc/ssh/sshd_config Datei. Die /etc/ssh/sshd_config-Datei definiert die Parameter für SSH-Verbindungen zu Ihrer Instance.

Um den Lightsail-Systemschlüssel zu entfernen
  1. Geben Sie in einem mit Ihrer Instance verbundenen SSH-Terminalfenster den folgenden Befehl ein, um den Schlüssel lightsail_instance_ca.pub zu entfernen:

    sudo rm –r /etc/ssh/lightsail_instance_ca.pub
  2. Geben Sie den folgenden Befehl ein, um die Datei sshd_config mit dem Vim-Texteditor zu bearbeiten.

    sudo vim /etc/ssh/sshd_config
  3. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  4. Löschen Sie den folgenden Text aus der Datei, sofern vorhanden:

    TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub
  5. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  6. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Der lightsail_instance_ca.pub-Schlüssel ist nun von Ihrer Instance entfernt. Die zugehörige Datei sshd_config wird aktualisiert, um diesen Schlüssel auszuschließen.