Как заменить .pem файл в aws

Question

Ситуация: Итак, в основном у меня есть экземпляр Ec2 и для входа в экземпляр Ec2, сначала я войду в систему, чтобы подключиться к серверу, а затем войду в свой экземпляр с частным ip, и все мои файлы pem будут храниться на сервере и в частном порядке.экземпляр (экземпляр EC2).

Что я сделал: я отредактировал файл sshd-config с «PasswordAuthentication No и изменил его на PasswordAuthentication Yes» и создал пароль наподобие «xyz123», теперь я могу войти на свой компьютерс,

ssh ubuntu @ ipadrrs и psswd: xyz123

, но это не служит моей открытой позиции.

то, что я ищу: на самом деле я использовал, чтобы поделиться своим.файл pem для моей команды, чтобы получить доступ к экземпляру, и если я включу пароль с помощью ip, они все равно смогут войти с именем пользователя и паролем, и если они покинут мою организацию, если у них есть удобный файл pem, они смогут получить доступ к моему экземпляру с помощью файла pem или пароля.

Каков наилучший способ избежать этой проблемы.

поможет ли здесь Active Directory или LDAP? Если да, то как?

Пожалуйста, помогите мне с вопросами.

Answer 1

Здесь вы можете преобразовать свой сервер перехода в сервер SSH Bastion.То же самое можно сделать, установив правила iptables на этом сервере.Ниже приведен пример правила, которое вы можете настроить:

iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp --dport yyyy -j  DNAT --to zz.zz.zz.zz:22

Здесь xx.xx.xx.xx - это частный IP-адрес бастионного сервера SSH.yyyy - это порт, который будет использоваться для входящего доступа.zz.zz.zz.zz будет частным IP-адресом сервера назначения.Это правило просто означает, что вы подключаетесь к машине через порт yyyy, который перенаправляет трафик на порт 22 на машине zz.zz.zz.zz.

В этом случае вам нужно только настроить публичный SSHтолько на целевой машине (zz.zz.zz.zz), и клиентская машина будет иметь закрытый ключ.Команда для подключения с клиентского компьютера будет ssh -i <path-to-private-key> username@BastionPublicIP -p yyyy

Ниже указаны порты, которые должны быть открыты в группах безопасности:

1. Bastion - Inbound - yyyy (с вашего IP)
2. Bastion - Входящий - 22 (с вашего IP)
3. Destionation - Входящий - 22 (с бастионного компьютера)

Я предлагаю вам использовать Amazon Linux AMI дляSSH Бастионный сервер.

Answer 2

Лучшим решением сейчас является использование Диспетчер сеансов AWS Systems Manager .Это не требует обмена Pem.Доступ по SSH напрямую из браузера, я этим пользуюсь и не нашел никаких проблем.Кроме того, все сеансы могут быть проверены.

В противном случае вращайте пары ключей.Но я не уверен, есть ли способ сделать это с помощью AWS.Кроме того, используйте лучшие практики, позволяя группам безопасности открываться только для известных ips, а не для всего целого.