Início / unix / Perguntas / 465675
Accepted
iamAguest
Asked: 2018-08-30 23:30:32 +0800 CST

A instância da AWS me permite fazer ssh com uma chave privada pela primeira vez sem uma senha

  • 772

Não se trata de copiar a chave pública no servidor e depois ssh-ing, se você vai sugerir isso.

Então, criei uma instância do AWS Linux e criei um par de chaves ssh e baixei automaticamente a chave privada.

Agora posso me conectar à minha instância do AWS Linux simplesmente:

ssh -i key_they_gave_me ec2-user@AWSinstanceIP

Como faço para configurar esse tipo de coisa para minhas próprias vms Linux? Para que alguém possa simplesmente entrar nele com a chave privada, sem precisar de uma senha?

EDIT: não estou falando de copiar o id_rsa.pub. Eu sei como fazer isso, e a instância da AWS não exige isso. Isso é o que eu quero.

ssh

3 respostas

  1. Senhas vazias são permitidas com SSH. Você pode replicá-lo ssh-keygensimplesmente pressionando enter quando for solicitada uma senha. De man ssh-keygen:

    O programa também pede uma senha. A senha pode estar vazia para indicar que não há senha (as chaves do host devem ter uma senha vazia) ou pode ser uma string de tamanho arbitrário.

    Esse é o comportamento padrão para chaves geradas como parte de vários serviços de nuvem. Espero que você descubra que a mesma coisa acontece se você usasse as nuvens do Google ou da Microsoft. Pode parecer inseguro, mas as alternativas também não são ótimas. De alguma forma, eles precisam dar acesso à VM.

    Para quem se preocupa com segurança, ssh-keygentambém tem uma função para alterar a senha na chave privada sem precisar alterar a chave pública:

    ssh-keygen -p -f key_they_gave_me

    Pessoalmente, tenho senhas por padrão, mas armazeno chaves sem senha dentro de um volume LUKS. Quando sei que estou prestes a fazer muito sshing, monto as chaves sem senha por cima das chaves padrão. Quando termino o trabalho, desmonto para que qualquer intruso ainda tenha que lidar com uma senha. Isso evita a necessidade do ssh-agent na maior parte do tempo, ao mesmo tempo em que dá muito controle sobre a segurança das chaves.

    • 3

  2. Você está perguntando sobre como a infraestrutura da AWS gera chaves ssh. A menos que alguém que trabalhe para a AWS e tenha permissão para divulgar essas informações ( altamente improvável), você não receberá uma resposta completa.

    Além disso, a resposta que você procura depende inteiramente de qual back-end de virtualização você usa.

    KVMDito isto, o que é conhecimento publicamente disponível da AWS é que eles agora usam sua própria plataforma de virtualização caseira , em vez de XENcomo costumavam usar.

    Assim, podemos arriscar um palpite de como a AWS faz isso, ou pelo menos fornecer um método de fazer isso por meio de um host kvm. A maneira mais comum que conheço é usar virt-sysprepem uma qcow2imagem com a --ssh-injectbandeira.

    Exemplo

    primeiro gere a chave pública no kvmhost com ssh-keygen. Digamos que seu usuário seja iamAgueste você armazenou a nova chave pública em/home/iamAguest/.ssh/id_rsa.pub

    Você então executaria virt-syspreppara injetar essas chaves em uma imagem:

    virt-sysprep -a a_linux_image.qcow2 --run-command 'useradd iamAguest' --ssh-inject iamAguest:file:/home/iamAguest/.ssh/id_rsa.pub

    Depois de implantar uma instância usando essa imagem a_linux_image.qcow2, você poderá usar o ssh usando suas novas chaves geradas.

    como a amazon faz isso com um clique de um botão?

    Um script bastante simples poderia fazer isso, mas em uma plataforma da escala da AWS, sem dúvida seria bastante complexo.

    Se você está apenas executando uma instância kvm própria, algo tão simples quanto isso pode resolver o problema:

    #!/usr/bin/bash

# get image and user from user input
image=$1
user=$2

# fail if no user input
if [ -z "$image" ] || [ -z "$user" ]; then
    echo "you must enter a filepath to an image and a user name to run this"
    echo "e.g: inject_ssh.bash <image> <user>"
    exit 1
fi

# create ssh key for current logged in user with no passphrase
echo -e "/home/$user/.ssh/id_rsa\n\n" | ssh-keygen

# inject key into image 
virt-sysprep -a $image --run-command "useradd $user" --ssh-inject $user:file:/home/$user/.ssh/id_rsa.pub

    Observe, no entanto, que seria uma boa ideia copiar a imagem primeiro, para que você ainda tenha uma imagem limpa, sem chaves, se estiver planejando fornecer isso como uma solução para o consumidor. Também seria uma boa ideia colocar mais validação no script; é apenas um exemplo simples como está.

    • 0
  3. Best Answer

    Na verdade, eu descobri a maneira de fazer isso. É muito simples na verdade.

    Digamos que você tenha machine1 e machine2 e queira poder acessar machine2 de machine1 sem manipular a chave de machine1, por meio de um método que permita que o usuário de machine1 acesse machine2 mesmo de outra máquina que não seja machine1.

    Você faz o ssh-keygenon machine2. Você faz cat /path/.ssh/id_rsa.pub >> /path/.ssh/authorized_keys, então chmod 600 /path/.ssh/authorized_keys, então finalmente copia o id_rsaarquivo permission.pem e o entrega para machine1.

    Desta forma machine1 pode se conectar a machine2 fazendo ssh -i permission.pem thatuser@machine2. O usuário da máquina1 pode levar o permission.pem com ele e conectar-se à máquina2 sem uma senha de qualquer máquina.

    Claro que isso é inseguro, mas você também pode usar uma senha. O que eu queria saber era como um CONCEITO como fazer. Isso responde.

    • 0

relate perguntas