Kelola kunci host untuk server berkemampuan SFTP - AWS Transfer Family
Kapan harus mengimpor kunci host

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola kunci host untuk server berkemampuan SFTP

Kunci host server adalah kunci pribadi yang digunakan oleh server Transfer Family untuk memberikan identitas unik kepada penelepon, dan untuk menjamin bahwa itu adalah server yang benar. Jaminan itu diberlakukan dengan adanya kunci publik yang benar dalam file penelepon. known_hosts (known_hostsFile ini adalah fitur standar yang digunakan oleh sebagian besar klien SSH untuk menyimpan kunci publik untuk server yang telah Anda sambungkan.) Anda dapat mengambil kunci publik yang sesuai dengan kunci host server Anda dengan menjalankan ssh-keyscan server Anda.

penting

Mengubah kunci host server secara tidak sengaja dapat mengganggu. Bergantung pada bagaimana klien SFTP Anda dikonfigurasi, klien SFTP dapat segera gagal, dengan pesan bahwa tidak ada kunci host tepercaya, atau menyajikan petunjuk yang mengancam. Jika ada skrip untuk mengotomatisasi koneksi, kemungkinan besar akan gagal juga.

Secara default, buat AWS Transfer Family kunci host untuk server berkemampuan SFTP Anda. Anda dapat mengimpor kunci host server untuk mempertahankan identitas host dan menghindari memperbarui toko kepercayaan klien. Kapan harus mengimpor kunci hostdaftar beberapa alasan Anda mungkin ingin melakukan ini. Jika Anda tidak memberikan kunci host, yang baru akan dibuat untuk Anda.

AWS Transfer Family mendukung beberapa kunci host dari berbagai jenis (RSA, ECDSA, dan ED25519) untuk memberikan kompatibilitas dengan berbagai algoritma tanda tangan host klien yang lebih luas. Jenis kunci yang berbeda memungkinkan algoritme tertentu: Kunci RSA mengaktifkan algoritma rsa-*, kunci ECDSA mengaktifkan algoritma ecdsa-*, dan kunci mengaktifkan algoritme ed25519. ED25519 Rencanakan jenis kunci Anda pada waktu pembuatan server, karena memperkenalkan jenis kunci tambahan setelah klien mulai berinteraksi dengan server dapat mengganggu beberapa klien dan mungkin sama bermasalahnya dengan mengganti kunci host yang ada.

Untuk mencegah pengguna diminta memverifikasi keaslian server berkemampuan SFTP lagi, impor kunci host untuk server lokal Anda ke server berkemampuan SFTP. Melakukan hal ini juga mencegah pengguna Anda mendapatkan peringatan tentang potensi man-in-the-middle serangan.

Anda juga dapat memutar kunci host secara berkala, sebagai langkah keamanan tambahan. Lihat perinciannya di Putar kunci host server.

catatan

Kunci host server digunakan oleh server yang mendukung protokol SFTP.

Kapan harus mengimpor kunci host

Meskipun AWS Transfer Family dapat menghasilkan kunci host secara otomatis, ada beberapa skenario di mana mengimpor kunci host Anda sendiri memberikan manfaat operasional:

  • Migrasi server - Anda bermigrasi dari server yang ada ke AWS Transfer Family dan ingin menghindari memperbarui penyimpanan kepercayaan klien (known_hostsfile) untuk klien yang ada.

  • Pemulihan bencana dan failover - Anda memiliki beberapa AWS Transfer Family server (misalnya, satu di AS Timur (Ohio) dan satu di AS Barat (Oregon)) yang memiliki nama DNS publik yang sama. Menggunakan kunci host yang sama di kedua server memastikan failover mulus tanpa kegagalan otentikasi klien.

  • Kontinuitas operasional - Anda ingin materi kunci host tersedia untuk digunakan dengan server lain (AWS Transfer Family atau sebaliknya) di masa depan untuk mempertahankan identitas server yang konsisten di seluruh infrastruktur Anda.

  • Kontrol algoritma - Anda menginginkan kompatibilitas klien yang lebih besar dengan menyediakan lebih banyak Algoritma Kunci Host, atau Anda ingin mengontrol algoritma mana yang dapat digunakan klien dengan hanya menawarkan kunci yang kompatibel dengan algoritme tertentu.

Topik berikut memberikan prosedur terperinci untuk mengelola kunci host server: