Авторизация ssh на Amazon EC2 (publickey)

Question

[krotish]

Немного запутался с авторизацией на Amazon EC2.
Есть инстанс с дебианом, авторизация по ключу для рута работает отлично.
Необходимо сделать авторизацию для других пользователей.
Создаю в Amazon Management Console новую Key Pair, получаю файл имя.pem

А дальше? как привязать этот ключ к определённому юзеру дебиана?

Answer 1

[rega]

Эта пара ключей нужна для того, чтобы при установке системы вы могли выполнить рутовский вход и дальше управлять сервером. Воспользуйтесь руководством которое я написал на примере как создать ключ пользователю (писал для red-hat, в дебиане вроде должно быть так же)

1)Заходим на сервер как рут и добавляем пользователя и генерируем ему ключи, в названии ключа вводим user1 (ниже)

adduser user1
cd /root/
ssh-keygen -t dsa

Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa): user1
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <нажмите ENTER чтобы было без пароля>
Enter same passphrase again: <нажмите ENTER чтобы было без пароля>
Your identification has been saved in /root/.ssh/user1.
Your public key has been saved in /root/.ssh/user1.pub.

2)Копируем публичный ключ пользователю user1 в authorized_keys (если ключей несколько то вместо копирования нужно добавить)

mkdir /home/user1/.ssh
cp user1.pub /home/user1/.ssh/authorized_keys
chown user1:user1 /home/user1/.ssh/authorized_keys

3) Переименовываем приватный ключ user1 в user1.pem чтобы было понятно что это

mv user1 user1.pem

4)Отправляем пользователю мылом или еще как ключ user1.pem

5)Теперь пользователь должен входить по такой команде со своего компа

ssh -i user1.pem user1@hear.is.your.ip без ввода пароля

Comments

[krotish]

а почему используется dsa, а не rsa?

[rega]

В этом примере особых причин нет, кроме как чтобы с амазоновскими не перепутать — я просто заводил себе доступ и заодно команды с консоли вам скопипастил сюда. Если надо сделать проще и просто дать пользователям доступ — то можно вообще по вводу паролей включив PasswordAuthentication yes в настройках sshd

[rega]

В общем смысл ответа в том что амазоновская Key Pair и пользователи, которых вы создаете сами в своей ОС, никак не связаны

[krotish]

получается, амазоновская Key Pair и все создаваемые в панели иогут быть использованы тока для рутового доступа к инстансам?

и вопрос, немного отдалённый: А между rsa и dsa есть какие-то отличия, из-за которых стоит использовать то или другое?

[rega]

Есть, это разные алгоритмы плюс что-то там с легальностью шифрования в странах. В трех словах да еще и в пятницу вечером не отвечу.

[rega]

>получается, амазоновская Key Pair и все создаваемые в панели иогут быть использованы тока для рутового доступа к инстансам?
Они могут использоваться где угодно, они ничем не отличаются от тех что вы нагенерите сами, просто без них первого рутового доступа к инстансам, настроенным на авторизацию по ключу, не получить. Поэтому там этот функционал и добавлен, но пользоваться им бессмысленно для ваших целей так как это можно сделать вручную

А так вы можете хоть один и тот же ключ куда угодно пихать,

[bobipopi]

rega подскажи, как обезопасить себя при работе с фрилансерами. Я хочу предоставить доступ к ec2 для настройки и тестирования сервера.

[rega]

bobipopi:

Вы написали вопрос сильно образно, под сервером, настройкой и обезопасить можно понимать все что угодно. Но скорее всего обезопасить себя никак нельзя, если вы собираетесь дать фрилансеру root доступ. Так что выбирайте фрилансера, которому доверяете. И обязательно делайте бекап

[bobipopi]

rega: Спасибо. Вы не могли бы за небольшую сумму научить создавать ключи SSH доступа для фрилансера (ssh -keygen -b 1024 -f user -t dsa), как поменять root@ на другое имя пользователя и еще пару вопросов. Пожалуйста вышлите вашу контактную информацию, если в у вас есть интерес. Спасибо.

[rega]

bobipopi:
Простите, из меня плохой учитель, так что прямо так "научить за деньги, оставить свои контакты" я не смогу. Я могу лишь когда есть время отвечать на вопросы - этим моя помощь и ограничится. Я не фрилансер

Но могу дать совет, если вам нужно результат быстрее, любой фрилансер, указавший в услугах "Администрирование Linux" справится с вашей задачей без проблем. Вы можете убить 2 зайцев: попросить его настроить этот доступ, о котором вы говорите, и попутно объяснить, что он сделал, чтобы в будущем вы смогли его действия повторить

А если вам не срочно и вы хотите вникнуть сами - задавайте вопросы здесь. Например, если вы распишите, какую работу вы хотите заказать у фрилансера и чего именно боитесь чтобы он не надедал, тогда я или любой другой посетитель сайта сможет помочь вам подробрее. Напрмер, может оказаться, что вам не обязательно создавать ключи, дать доступ по SSH можно по логину и паролю: создать пользователя и добавить его в список SSH пользователей... Возможно даже подскажет решение которое вы можете скопировать и вставить. Чтобы было продуктивнее - вы можете создать отдельный вопрос на этом сайте (чтобы другие тоже смогли ответить) и пригласить в этот вопрос меня.

Надеюсь у вас все получится)