SSH密钥对管理

一、SSH密钥对管理

我们知道，访问Linux服务器通常使用SSH协议，而SSH协议支持密码和密钥两种身份认证机制，但是基于安全性考虑，我们建议用户在使用SSH时，尽量使用密钥的方式，避免攻击者使用暴力破解来猜测Linux主机密码；

对于Linux入门用户来说，启用SSH密钥登录配置过程繁琐，即便是对Linux熟悉的用户，也需要定期更换SSH密钥，以确保安全。针对这一需求，行云管家提供了SSH密钥对管理的功能，为用户提供傻瓜化的SSH密钥配置和一系列的管理能力。

行云管家在“资源运维/运维控制”中进行SSH密钥对管理：

首先创建SSH密钥对，行云管家使用的是RSA算法，生成长度为2048位的密钥对。

（1）在SSH密钥对管理页面，点击“创建新的密钥对”，弹出创建密钥对对话框；

（2）输入将要创建的密钥对的名称及说明，然后这里可以选择“系统自动生成”或者选择“上传私钥文件”（您自己已生成的私钥文件）两种形式，然后再点击“创建”，即可成功创建SSH密钥对；

（3）返回SSH密钥对管理页面，即可查看到新创建的密钥对

对于行云管家中创建的SSH密钥对，您可以查看其并获取其公钥，如果有必要，您可以将该公钥置于您的Linux服务器中，实现以本密钥对中的私钥来访问Linux主机的目的。

点击“显示公钥”，将弹出公钥显示框，点击其中的“复制公钥”，即可获得公钥；

您可以将SSH密钥对中的私钥下载至您本地，实现在行云管家系统外使用密钥。

为了避免私钥泄露，系统要求对下载者进行基于OTP、手机短信或第三方应用（钉钉、微信、企业微信）的二次身份认证。点击“显示公钥”右方的“┇”，在下拉菜单中点击“下载私钥”，将弹出二次身份认证对话框；

进行二次身份认证后，即可下载到私钥文件；

密钥对创建后，默认情况下，团队管理员可以使用该密钥对来访问目标主机的SSH，如果您希望其他成员可以使用该密钥，可以点击“授权对象”，将弹出密钥对使用授权对话框；

访问Linux主机通常使用SSH协议，而SSH协议支持密码和密钥两种身份认证机制，基于安全性考虑，可以使用密钥进行登录认证。行云管家提供“SSH密钥对”管理功能，可以在“SSH密钥对”中生成SSH密钥对并按下述方式创建SSH密钥主机凭证，然后通过SSH密钥策略下发至目标主机；

（1）创建好行云管家SSH密钥对后，即可在主机的“主机详情”页面中的“主机凭证”，创建主机凭证时选择如图“使用密钥对”；

（2）创建好行云管家SSH密钥对后，也可以在“主机凭证管理”菜单页面，找到要添加SSH密钥凭证的主机来添加SSH密钥凭证；

创建好SSH密钥主机凭证后，即可在“凭证改密策略”菜单里，设置SSH密钥策略并关联相关已设置SSH密钥主机凭证的主机，进行SSH密钥下发，如图创建SSH密钥下发策略。然后在推送规则中指定的通知邮箱将会收到密钥下的发通知；

创建好策略，并关联相关SSH密钥主机凭证后，既可以点击如图“改密策略”里的“下发密钥”；

在这里可以上传您自己本地的密钥文件，也可以使用行云管家密钥对，然后即可追加或覆盖（覆盖将删除同账户下所有其它SSH公钥，请谨慎选择，一般建议选择追加）的方式。还可以设置强制禁用密码登录（禁用密码登录后，SSH将只允许使用密钥登录，避免暴力破解，请谨慎选择）