SSH 金鑰對,常簡稱為金鑰組,是區別於使用者名加密碼遠程登入 Linux 執行個體的認證方式。SSH 金鑰對通過密碼編譯演算法生成一對密鑰,預設採用 RSA 2048 位的加密方式。一個對外界公開,稱為 公開金鑰,另一個您自己保留,稱為 私密金鑰,私密金鑰使用未加密的 PEM(Privacy-enhanced Electronic Mail) 編碼的 PKCS#8
格式。
功能優勢
相較於使用者名和密碼認證方式,SSH 金鑰對有以下優勢:
安全性
SSH 金鑰對登入認證更為安全可靠:
-
金鑰組安全強度遠高於常規使用者口令,可以杜絕暴力破解威脅。
-
不可能通過公開金鑰推匯出私密金鑰。
便捷性
-
如果您將公開金鑰配置在 Linux 執行個體中,那麼,在本地或者另外一台執行個體中,您可以使用私密金鑰通過 SSH 命令或相關工具登入目標執行個體,而不需要輸入密碼。
-
便於遠程登入大量 Linux 執行個體,方便管理。如果您需要批量維護多台 Linux 執行個體,推薦使用這種方式登入。
使用限制
使用 SSH 金鑰對有如下限制:
- 僅支援 Linux 執行個體。如果使用 SSH 金鑰對登入 Linux 執行個體,預設禁用密碼登入,以提高安全性。
- 目前,ECS 只支援建立 2048 位的 RSA 金鑰組。
- ECS 會保存金鑰組的公開金鑰部分。
- 金鑰組建立成功後,您需要妥善保管私密金鑰。
- 一個雲帳號在一個地域最多可以擁有 500 個金鑰組。
- 一台 Linux 執行個體只能綁定一個 SSH 金鑰對。如果您的執行個體已綁定金鑰組,綁定新的金鑰組會替換原來的金鑰組。
- 基於資料安全考慮,在執行個體狀態為 運行中 (Running) 綁定或者解綁金鑰組時,您需要重啟執行個體使操作生效。
- 已停售的執行個體規格 無法使用 SSH 金鑰對。
生成方式
SSH 金鑰對的生成方式包括:
- 由 ECS 生成,預設採用 RSA 2048 位的加密方式。
说明 如果您的金鑰組由 ECS 生成,那麼在首次生成金鑰組時,請務必下載並妥善保存私密金鑰。當該金鑰組綁定某台執行個體時,如果沒有私密金鑰,您將無法登入執行個體。
- 由您採用 SSH 金鑰對產生器生成後再匯入 ECS,匯入的金鑰組必須支援下列任一種加密方式:
- rsa
- dsa
- ssh-rsa
- ssh-dss
- ecdsa
- ssh-rsa-cert-v00@openssh.com
- ssh-dss-cert-v00@openssh.com
- ssh-rsa-cert-v01@openssh.com
- ssh-dss-cert-v01@openssh.com
- ecdsa-sha2-nistp256-cert-v01@openssh.com
- ecdsa-sha2-nistp384-cert-v01@openssh.com
- ecdsa-sha2-nistp521-cert-v01@openssh.com
相關操作
- 如果您沒有 SSH 金鑰對,可以 建立 SSH 金鑰對。
- 如果您使用其它工具生成了金鑰組,可以 匯入 SSH 金鑰對。
- 如果您不再需要某個金鑰組,可以 刪除 SSH 金鑰對。
- 如果您想使用或者禁用 SSH 金鑰對訪問已經建立好的執行個體,可以 綁定和解綁 SSH 金鑰對。
- 您可以在 建立執行個體 時指定 SSH 金鑰對。
- 您可以 使用SSH金鑰組串連Linux執行個體。