Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sichere Amazon EC2 EC2-Instances, die aus Lightsail-Snapshots gestartet wurden
Amazon Lightsail und Amazon Elastic Compute Cloud (Amazon EC2) verwenden Public-Key-Kryptografie, um Anmeldeinformationen zu verschlüsseln und zu entschlüsseln. Bei der Kryptografie für öffentliche Schlüssel werden öffentliche Schlüssel eingesetzt, um Daten wie ein Passwort zu verschlüsseln. Der Empfänger entschlüsselt diese Daten dann mit einem privaten Schlüssel. Der öffentliche und der private Schlüssel werden als Schlüsselpaar bezeichnet.
Wenn Sie eine Linux- oder Unix-Lightsail-Instance nach EC2 exportieren, enthält die neue EC2-Instance Restschlüssel aus dem Lightsail-Dienst. Als bewährte Methode für die Sicherheit sollten Sie nicht benutzte Schlüssel aus Ihrer Instance entfernen.
Um die Sicherheit einer Linux- oder Unix-Instance in EC2 zu verbessern, die aus einem Lightsail-Snapshot erstellt wurde, empfehlen wir, dass Sie nach dem Erstellen der Instance die folgenden Aktionen ausführen:
-
Entfernen und ersetzen Sie den Lightsail-Standardschlüssel, wenn Sie ihn verwendet haben, um eine Verbindung zur Quellinstanz in Lightsail herzustellen. Der Lightsail-Standardschlüssel ist in Ihrer Amazon EC2 EC2-Instance nicht vorhanden, wenn Sie Ihren eigenen Schlüssel verwendet haben, um eine Verbindung zu Ihrer Instance herzustellen, oder wenn Sie einen Schlüssel für Ihre Instance in der Lightsail-Konsole erstellt haben.
-
Entfernen Sie den Lightsail-Systemschlüssel, auch als Schlüssel bezeichnet.
lightsail_instance_ca.pub
Dieser Schlüssel auf Linux- und Unix-Instances ermöglicht es dem browserbasierten Lightsail-SSH-Client, eine Verbindung herzustellen. Derlightsail_instance_ca.pub
Schlüssel wird automatisch entfernt, wenn eine EC2-Instance mithilfe der Seite Create an Amazon EC2 Instance in der Lightsail-Konsole oder der Lightsail-API erstellt wird.
Inhalt
Erstellen eines Schlüsselpaars mit Amazon EC2
Verwenden Sie die Amazon EC2 EC2-Konsole, um ein neues key pair zu erstellen, mit dem Sie das Lightsail-Standardschlüsselpaar ersetzen können.
Wie Sie einen privaten Schlüssel mit Amazon EC2 erstellen
-
Melden Sie sich bei der Amazon-EC2-Konsole
an. -
Wählen Sie im linken Navigationsbereich Key Pairs (Schlüsselpaare).
-
Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.
-
Geben Sie einen Namen für den Schlüssel in das Textfeld Key pair name (Schlüsselpaarname) ein und wählen Sie dann Create (Erstellen).
Der neue private Schlüssel wird automatisch heruntergeladen. Notieren Sie sich, wo der private Schlüssel gespeichert wird. Sie benötigen ihn im folgenden Abschnitt Erstellen des öffentlichen Schlüssels mit PuTTYgen in diesem Handbuch, um einen öffentlichen Schlüssel zu erstellen.
Erstellen des öffentlichen Schlüssels mit PuTTYgen
PuTTYgen ist ein Werkzeug, das in PuTTY enthalten ist. Verwenden Sie PuTTYgen, um den Text des öffentlichen Schlüssels zu generieren, den Sie später in diesem Handbuch zu Ihrer Instance hinzufügen.
Anmerkung
Weitere Informationen zur Konfiguration von PuTTY für die Connect Ihrer Linux- oder Unix-Instance finden Sie unter Verbindung zu einer Amazon EC2 EC2-Linux- oder Unix-Instance herstellen, die aus einem Lightsail-Snapshot erstellt wurde.
So erstellen Sie den öffentlichen Schlüssel mit PuTTYgen
-
Starten Sie PuTTYgen.
Wählen Sie beispielsweise das Windows-Startmenü aus. Wählen Sie dann Alle Programme, PuTTY und PuTTYgen aus.
-
Wählen Sie Laden aus.
PuTTYgen zeigt standardmäßig nur Dateien mit der Erweiterung PPK an. Damit Sie die PEM-Datei finden, wählen Sie die Option zur Anzeige aller Dateitypen.
-
Navigieren Sie zum Speicherort Ihres privaten Schlüssels, der weiter oben in diesem Handbuch erstellt wurde. Wählen Sie den privaten Schlüssel und dann Open (Öffnen).
-
Nachdem PuTTYgen bestätigt hat, dass Sie den Schlüssel erfolgreich importiert haben, wählen Sie OK aus.
-
Markieren Sie den Inhalt des Textfeldes Public key (Öffentlicher Schlüssel) und kopieren Sie ihn in die Zwischenablage, indem Sie Ctrl+C (Strg+C) drücken, wenn Sie Windows verwenden, oder Cmd+C, wenn Sie MacOS verwenden.
Öffnen Sie einen Texteditor wie Notepad oder und fügen Sie den Text des öffentlichen Schlüssels ein TextEdit, indem Sie Strg+V drücken, wenn Sie Windows verwenden, oder Cmd+V, wenn Sie macOS verwenden. Speichern Sie die Datei mit Ihrem öffentlichen Schlüsseltext. Sie werden ihn später noch in diesem Handbuch benötigen.
-
Fahren Sie mit dem Abschnitt Verbinden mit Ihrer Linux- oder Unix-Instance in Amazon EC2 dieses Handbuchs fort, um eine Verbindung zu Ihrer EC2-Instance herzustellen und den öffentlichen Schlüssel hinzuzufügen.
Verbinden mit Ihrer Linux- oder Unix-Instance in Amazon EC2
Stellen Sie mithilfe von SSH Connect zu Ihrer Linux- oder Unix-Instance in Amazon EC2 her, um den Lightsail-Standardschlüssel und den Systemschlüssel zu entfernen. Weitere Informationen finden Sie unter Connect zu einer Linux- oder Unix-Instance in Amazon EC2 herstellen, die aus einem Amazon Lightsail-Snapshot erstellt wurde.
Fahren Sie mit dem Abschnitt Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der Verbindung in diesem Handbuch fort, wenn Sie mit Ihrer Instance in Amazon EC2 verbunden sind.
Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der Verbindung
Der Inhalt des öffentlichen Schlüssels wird in der Datei ~/.ssh/authorized_keys
auf Linux- und Unix-Instances gespeichert. Bearbeiten Sie die Datei, um den Lightsail-Standardschlüssel aus Ihrer Linux- oder Unix-Instance in Amazon EC2 zu entfernen und zu ersetzen.
So fügen Sie den öffentlichen Schlüssel zu Ihrer Instance hinzu und testen die Verbindung
-
Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um die Datei
authorized_keys
mit dem Vim-Texteditor zu bearbeiten.sudo vim ~/.ssh/authorized_keys
Anmerkung
Diese Schritte verwenden Vim zu Demonstrationszwecken. Sie können für diese Schritte jedoch jeden beliebigen Texteditor verwenden.
-
Drücken Sie die Taste
I
, um in den Einfügemodus im Vim-Editor zu gelangen. -
Geben Sie nach der Lightsail-Standardtaste eine zusätzliche Zeile ein.
-
Kopieren und fügen Sie den Text des öffentlichen Schlüssels ein, den Sie zuvor diesem Handbuch folgend gespeichert haben.
Das Ergebnis sollte wie folgt aussehen:
-
Drücken Sie die Taste
ESC
, und geben Sie dann:wq!
ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden. -
Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:
sudo /etc/init.d/sshd restart
Das Ergebnis sollte in etwa wie folgt aussehen:
Ihr neuer öffentlicher Schlüssel ist nun zu Ihrer Instance hinzugefügt. Um das neue Schlüsselpaar zu testen, trennen Sie die Verbindung zu Ihrer Instance. Konfigurieren Sie PuTTY so, dass Ihr neuer privater Schlüssel anstelle des Lightsail-Standardschlüssels verwendet wird. Wenn Sie mit Ihrem neuen key pair erfolgreich eine Verbindung zu Ihrer Instance herstellen können, fahren Sie mit dem Abschnitt Entfernen des Lightsail-Standardschlüssels in diesem Handbuch fort, um den Lightsail-Standardschlüssel zu entfernen.
Entfernen Sie den Lightsail-Standardschlüssel
Entfernen Sie den Lightsail-Standardschlüssel, nachdem Sie Ihrer Instance einen neuen öffentlichen Schlüssel hinzugefügt und mit dem neuen key pair erfolgreich eine Verbindung zu dieser hergestellt haben.
Um den Lightsail-Standardschlüssel zu entfernen
-
Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um
authorized_keys file
mit dem Vim-Texteditor zu bearbeiten.sudo vim ~/.ssh/authorized_keys
-
Drücken Sie die Taste
I
, um in den Einfügemodus im Vim-Editor zu gelangen. -
Löschen Sie die Zeile, die mit
LightsailDefaultKeyPair
endet. Dies ist der Lightsail-Standardschlüssel. -
Drücken Sie die Taste
ESC
, und geben Sie dann:wq!
ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden. -
Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:
sudo /etc/init.d/sshd restart
Das Ergebnis sollte in etwa wie folgt aussehen:
Der Lightsail-Standardschlüssel ist jetzt aus Ihrer Instance entfernt. Ihre Instanz lehnt jetzt Verbindungen ab, die den Lightsail-Standardschlüssel verwenden. Fahren Sie mit dem Abschnitt Entfernen des Lightsail-Systemschlüssels in diesem Handbuch fort, um den Lightsail-Systemschlüssel zu entfernen.
Entfernen Sie den Lightsail-Systemschlüssel
Der Lightsail-Systemschlüssel, auch als Schlüssel bezeichnet, ermöglicht es dem lightsail_instance_ca.pub
browserbasierten Lightsail-SSH-Client auf Linux- und Unix-Instances, eine Verbindung herzustellen. Führen Sie die folgenden Schritte aus, um den lightsail_instance_ca.pub
-Schlüssel aus Ihrer Linux- oder Unix-Instance in Amazon EC2 zu entfernen, und bearbeiten Sie die Datei /etc/ssh/sshd_config
. Die /etc/ssh/sshd_config
-Datei definiert die Parameter für SSH-Verbindungen zu Ihrer Instance.
Um den Lightsail-Systemschlüssel zu entfernen
-
Geben Sie in einem mit Ihrer Instance verbundenen SSH-Terminalfenster den folgenden Befehl ein, um den Schlüssel
lightsail_instance_ca.pub
zu entfernen:sudo rm –r /etc/ssh/lightsail_instance_ca.pub
-
Geben Sie den folgenden Befehl ein, um die Datei
sshd_config
mit dem Vim-Texteditor zu bearbeiten.sudo vim /etc/ssh/sshd_config
-
Drücken Sie die Taste
I
, um in den Einfügemodus im Vim-Editor zu gelangen. -
Löschen Sie den folgenden Text aus der Datei, sofern vorhanden:
TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub
-
Drücken Sie die Taste
ESC
, und geben Sie dann:wq!
ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden. -
Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:
sudo /etc/init.d/sshd restart
Das Ergebnis sollte in etwa wie folgt aussehen:
Der
lightsail_instance_ca.pub
-Schlüssel ist nun von Ihrer Instance entfernt. Die zugehörige Dateisshd_config
wird aktualisiert, um diesen Schlüssel auszuschließen.