SSH 金鑰對,常簡稱為金鑰組,是區別於使用者名加密碼遠程登入 Linux 執行個體的認證方式。SSH 金鑰對通過密碼編譯演算法生成一對密鑰,預設採用 RSA 2048 位的加密方式。一個對外界公開,稱為 公開金鑰,另一個您自己保留,稱為 私密金鑰,私密金鑰使用未加密的 PEM(Privacy-enhanced Electronic Mail) 編碼的 PKCS#8 格式。

功能優勢

相較於使用者名和密碼認證方式,SSH 金鑰對有以下優勢:

安全性

SSH 金鑰對登入認證更為安全可靠:

  • 金鑰組安全強度遠高於常規使用者口令,可以杜絕暴力破解威脅。

  • 不可能通過公開金鑰推匯出私密金鑰。

便捷性
  • 如果您將公開金鑰配置在 Linux 執行個體中,那麼,在本地或者另外一台執行個體中,您可以使用私密金鑰通過 SSH 命令或相關工具登入目標執行個體,而不需要輸入密碼。

  • 便於遠程登入大量 Linux 執行個體,方便管理。如果您需要批量維護多台 Linux 執行個體,推薦使用這種方式登入。

使用限制

使用 SSH 金鑰對有如下限制:

  • 僅支援 Linux 執行個體。如果使用 SSH 金鑰對登入 Linux 執行個體,預設禁用密碼登入,以提高安全性。
  • 目前,ECS 只支援建立 2048 位的 RSA 金鑰組。
    • ECS 會保存金鑰組的公開金鑰部分。
    • 金鑰組建立成功後,您需要妥善保管私密金鑰。
  • 一個雲帳號在一個地域最多可以擁有 500 個金鑰組。
  • 一台 Linux 執行個體只能綁定一個 SSH 金鑰對。如果您的執行個體已綁定金鑰組,綁定新的金鑰組會替換原來的金鑰組。
  • 基於資料安全考慮,在執行個體狀態為 運行中 (Running) 綁定或者解綁金鑰組時,您需要重啟執行個體使操作生效。
  • 已停售的執行個體規格 無法使用 SSH 金鑰對。

生成方式

SSH 金鑰對的生成方式包括:

  • 由 ECS 生成,預設採用 RSA 2048 位的加密方式。
    说明 如果您的金鑰組由 ECS 生成,那麼在首次生成金鑰組時,請務必下載並妥善保存私密金鑰。當該金鑰組綁定某台執行個體時,如果沒有私密金鑰,您將無法登入執行個體。
  • 由您採用 SSH 金鑰對產生器生成後再匯入 ECS,匯入的金鑰組必須支援下列任一種加密方式:
    • rsa
    • dsa
    • ssh-rsa
    • ssh-dss
    • ecdsa
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
    • ssh-rsa-cert-v01@openssh.com
    • ssh-dss-cert-v01@openssh.com
    • ecdsa-sha2-nistp256-cert-v01@openssh.com
    • ecdsa-sha2-nistp384-cert-v01@openssh.com
    • ecdsa-sha2-nistp521-cert-v01@openssh.com

相關操作