Elastic Compute Service：Hubungkan ke instance Linux menggunakan OpenSSH atau Xshell

Catatan penggunaan

• Instance menjalankan sistem operasi Linux.

• Instance memiliki alamat IP publik statis atau Elastic IP Address (EIP) yang terkait.

Metode 1: Gunakan klien OpenSSH (baris perintah)

OpenSSH adalah klien Secure Shell (SSH) standar yang terpasang di macOS dan sistem operasi Windows modern, memungkinkan Anda terhubung dengan cepat dari baris perintah.

Metode 2: Gunakan klien Xshell (hanya untuk Windows)

Xshell adalah klien SSH untuk Windows yang digunakan untuk mengelola server Linux.

Terapkan dalam produksi

Untuk meningkatkan keamanan koneksi jarak jauh Anda dalam lingkungan produksi, ikuti praktik terbaik berikut.

• Verifikasi sidik jari host untuk mencegah serangan man-in-the-middle

  Saat terhubung ke instance untuk pertama kalinya, verifikasi sidik jari kunci host instance untuk memastikan Anda terhubung ke instance yang benar, bukan server penyerang.

• Nonaktifkan logon berbasis kata sandi dan paksa otentikasi pasangan kunci

  Otentikasi pasangan kunci jauh lebih aman daripada otentikasi kata sandi dan mengurangi risiko serangan brute-force.

  1. Ikat pasangan kunci ke instance Anda.

  2. Masuk ke instance, edit file konfigurasi /etc/ssh/sshd_config, dan ubah nilai PasswordAuthentication menjadi no. Mulai ulang layanan SSH agar perubahan berlaku.

• Ubah port SSH default

  Mengubah port default 22 ke port non-standar (seperti 2222) mengurangi paparan terhadap pemindaian otomatis.

  1. Izinkan Port Baru: Tambahkan aturan masuk ke grup keamanan instance untuk mengizinkan lalu lintas pada port baru.

  2. Ubah Port Layanan SSH: Masuk ke instance, edit file konfigurasi /etc/ssh/sshd_config, dan ubah #Port 22 menjadi Port 2222. Mulai ulang layanan SSH agar perubahan berlaku.

  3. Hubungkan Menggunakan Port Baru: Saat terhubung, Anda harus menentukan port baru dengan flag -p. Contoh: ssh -p 2222 username@instance_ip.

• Izinkan akses hanya dari alamat IP tepercaya

  Ubah aturan grup keamanan untuk mengizinkan akses SSH hanya dari IP lokal Anda atau alamat IP tepercaya lainnya.

FAQ

• Bagaimana cara mengonfigurasi aturan grup keamanan untuk port 22?

  Dalam grup keamanan instance, tambahkan aturan dengan pengaturan berikut:

  Tindakan	Protokol	Sumber	Tujuan (Instance Ini)
  Izinkan	TCP Kustom	Alamat IP publik klien lokal Anda. Penting Menggunakan 0.0.0.0/0 mengizinkan alamat IP apa pun untuk mengakses port, yang menimbulkan risiko keamanan. Gunakan dengan hati-hati.	SSH(22) Jika Anda mengubah port SSH, gunakan nomor port baru.

• Bagaimana cara memverifikasi sidik jari kunci host instance?

  Saat Anda terhubung ke instance untuk pertama kali, Anda akan diminta untuk memverifikasi sidik jari kunci host.

  Di konsol

  1. Pergi ke Konsol ECS - Instance. Di sudut kiri atas, pilih wilayah dan kelompok sumber daya.

  2. Temukan instance dan klik > Obtain Instance System Logs. Lalu, temukan BEGIN SSH HOST KEY FINGERPRINTS. Sidik jarinya ditampilkan.

     

     Periksa apakah sidik jari yang ditampilkan oleh klien SSH Anda persis cocok dengan sidik jari di output. Jika tidak cocok, Anda mungkin sedang mengalami serangan man-in-the-middle. Beralihlah ke jaringan aman dan coba sambungkan lagi.

     Jika Anda tidak dapat menemukan bagian ini, masuk ke instance untuk melihat sidik jari host.

  Di instance

  Masuk ke instance menggunakan Workbench dan jalankan perintah berikut untuk melihat sidik jari kunci host:

  for f in /etc/ssh/ssh_host_*_key.pub; do ssh-keygen -l -f "$f"; done

  Contoh output:

  1024 SHA256:9C******co root@Connect-Instance-Example (DSA)
  256 SHA256:u6******SU root@Connect-Instance-Example (ECDSA)
  256 SHA256:iQ******jg root@Connect-Instance-Example (ED25519)
  3072 SHA256:8R******64 root@Connect-Instance-Example (RSA)

  Periksa apakah sidik jari yang ditampilkan oleh klien SSH Anda persis cocok dengan sidik jari di output. Jika tidak cocok, Anda mungkin sedang mengalami serangan man-in-the-middle. Beralihlah ke jaringan aman dan coba sambungkan lagi.

• Bagaimana saya bisa menyederhanakan perintah koneksi dengan file konfigurasi SSH?

  Untuk menyederhanakan perintah koneksi, buat dan konfigurasikan file konfigurasi SSH config di mesin lokal Anda untuk menetapkan alias untuk server Anda.

  1. Temukan atau buat file config.

     Windows 10/11

     Jalur default file config adalah C:\Users\YourUsername\.ssh\config. Jika file tersebut tidak ada, buat secara manual.

     Ganti YourUsername dengan nama pengguna Windows Anda saat ini.

     macOS

     Jalur default file config adalah ~/.ssh/config. Jika file tersebut tidak ada, buat secara manual.

  2. Edit file config dan tambahkan informasi instance.

     Buka file config di editor teks dan tambahkan blok Host untuk setiap server.

     # Konfigurasikan alias "web-server" untuk server web
     Host web-server
         HostName        47.98.xxx.xxx
         User            root
         Port            22
         # (Opsional) Jika Anda menggunakan pasangan kunci untuk logon, tentukan jalur file kunci privat. Abaikan ini jika Anda menggunakan kata sandi.
         IdentityFile    /path/to/your/private_key.pem
     
     # Anda dapat menambahkan lebih banyak konfigurasi untuk server lain
     Host other-server
         HostName        8.123.xxx.xxx
         User            ecs-user
         Port            2222
         IdentityFile    ~/.ssh/another_key.pem

     Deskripsi Parameter:

     • Host: Alias kustom untuk server.

     • HostName: Alamat IP publik instance.

     • User: Nama pengguna logon.

     • Port: Nomor port SSH (default adalah 22).

     • IdentityFile: Jalur mutlak ke file kunci privat.

  3. Hubungkan menggunakan alias.

     Simpan file config. Sekarang Anda dapat terhubung menggunakan alias.

     # Hubungkan langsung menggunakan alias. SSH secara otomatis membaca alamat IP, nama pengguna, dan informasi kunci dari file config.
     ssh web-server

• Mengapa saya mendapatkan kesalahan Connection timed out?

  Kesalahan ini terjadi ketika klien gagal membuat koneksi dengan server. Periksa hal berikut:

  1. Alamat IP publik benar.

  2. Grup keamanan mengizinkan lalu lintas pada port yang diperlukan.

  3. Instance dalam status Berjalan.

  4. Gunakan alat Konsol ECS - Pemecahan Masalah Mandiri untuk mendiagnosis masalah apa pun.

• Mengapa saya mendapatkan kesalahan Permission denied, please try again?

  Kesalahan ini berarti server menolak kata sandi Anda. Periksa hal berikut:

  1. Atur ulang kata sandi di konsol dan coba lagi.

  2. Gunakan alat Konsol ECS - Pemecahan Masalah Mandiri untuk mendiagnosis masalah apa pun.

• Mengapa saya mendapatkan kesalahan Permission denied (publickey)?

  Kesalahan ini berarti server menolak kunci Anda. Periksa hal berikut:

  1. Ikat pasangan kunci lagi di konsol dan coba lagi.

  2. Jalur ke file kunci privat benar. Kunci privat sesuai dengan pasangan kunci yang terkait dengan instance.

  3. (Di macOS) Izin file kunci privat adalah 400 atau 600.

  4. Gunakan alat Konsol ECS - Pemecahan Masalah Mandiri untuk mendiagnosis masalah apa pun.

• Mengapa saya mendapatkan kesalahan WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!?

  Fitur keamanan SSH ini dipicu ketika sidik jari kunci host server berubah setelah koneksi pertama Anda. Hal ini dapat terjadi jika Anda mengubah disk sistem, menginstal ulang sistem operasi, atau menghapus file kunci host pada instance.

  Solusi: Verifikasi sidik jari kunci host instance. Jika benar, jalankan perintah berikut di mesin lokal Anda untuk menghapus sidik jari yang sudah usang.

  ssh-keygen -R <instance_public_IP_address>