安全中心 堡垒机
SSH密钥对管理

一、SSH密钥对管理

我们知道,访问Linux服务器通常使用SSH协议,而SSH协议支持密码和密钥两种身份认证机制,但是基于安全性考虑,我们建议用户在使用SSH时,尽量使用密钥的方式,避免攻击者使用暴力破解来猜测Linux主机密码;

对于Linux入门用户来说,启用SSH密钥登录配置过程繁琐,即便是对Linux熟悉的用户,也需要定期更换SSH密钥,以确保安全。针对这一需求,行云管家提供了SSH密钥对管理的功能,为用户提供傻瓜化的SSH密钥配置和一系列的管理能力。

行云管家在“安全中心/堡垒机/主机运维控制”中进行SSH密钥对管理:

二、创建SSH密钥对

首先创建SSH密钥对,行云管家使用的是RSA算法,生成长度为2048位的密钥对。

1、在SSH密钥对管理页面,点击“创建新的密钥对”,弹出创建密钥对对话框;

2、输入将要创建的密钥对的名称及说明,然后这里可以选择“系统自动生成”或者选择“上传私钥文件”(您自己已生成的私钥文件)两种形式,然后再点击“创建”,即可成功创建SSH密钥对;

3、返回SSH密钥对管理页面,即可查看到新创建的密钥对

三、显示公钥

对于行云管家中创建的SSH密钥对,您可以查看其并获取其公钥,如果有必要,您可以将该公钥置于您的Linux服务器中,实现以本密钥对中的私钥来访问Linux主机的目的。

点击“显示公钥”,将弹出公钥显示框,点击其中的“复制公钥”,即可获得公钥;

四、下载私钥

您可以将SSH密钥对中的私钥下载至您本地,实现在行云管家系统外使用密钥。

为了避免私钥泄露,系统要求对下载者进行基于OTP、手机短信或第三方应用(钉钉、微信、企业微信)的二次身份认证。点击“显示公钥”右方的“┇”,在下拉菜单中点击“下载私钥”,将弹出二次身份认证对话框;

进行二次身份认证后,即可下载到私钥文件;

五、设置开放性

密钥对创建后,默认情况下,团队管理员可以使用该密钥对来访问目标主机的SSH,如果您希望其他成员可以使用该密钥,可以点击“授权对象”,将弹出密钥对使用授权对话框;

六、在登录凭证中使用密钥对

在密钥登录凭证中,可以关联使用SSH密钥对,或将密钥下发至主机。

请参考凭证管理 设置登录密钥下发密钥

七、使用密钥对登录主机

在行云管家中,使用SSH协议连接主机时,您可以通过上传已有的SSH密钥,也可以使用行云管家创建的SSH密钥(前提是已将密钥下发至该主机)来进行登录;

使用SSH协议访问主机,登录凭证选择“密钥”,点击展开按钮,可以看到“上传新密钥”和“使用密钥对”;

如果选择“上传新密钥”,您需要从本地上传已有的SSH密钥;

如果选择“使用密钥对”,可以选择行云管家中创建好的SSH密钥;

只要该SSH密钥已经下发至主机,即可使用该SSH密钥进行登录。请参考:下发密钥