У меня есть экземпляр EC2, на котором размещается серверная часть моего мобильного приложения.
Моему разработчику нужен доступ к моему серверу, чтобы загрузить новый код, и я думаю, что и протестирую его.
Теперь я не хочу сообщать ему данные FTP, поэтому вот что Я сделал:
- Создал новый Linux Пользователь
- Создал новую пару ключей из консоли EC2
- Создал каталог .s sh
- Измените разрешение файла на 700 (чтобы только владелец файла мог читать / писать / открывать каталог)
- Созданы authorised_keys с помощью сенсорной команды в каталоге .s sh
- Изменено разрешение файла на 600 (так что только владелец файла может читать / записывать каталог)
- Получен ключ publi c для пары ключей
- Добавьте ключ publi c в authorised_keys
Теперь я могу поделиться новым сгенерированным файлом PEM с моим разработчиком вместе с именем пользователя и IP-адресом моего хоста EC2.
Но я не понимаю, почему я не могу напрямую это сделать, создав пользователя IAM из консоли AWS и соответствующим образом установив его разрешение?
Я действительно сбит с толку, потому что сначала я хотел сделать это способом IAM, но все предлагали go с пользователем Linux - разве это не одно и то же?
Кроме того, я полностью удалю этого пользователя, когда он закончит свою работу, верно?
Кроме того, я чего-то не понимаю ... после всего этого и настройки нового пользователя Linux я могу подключиться к моему серверу, используя имя пользователя Linux и пароль Unix только - без использования файла PEM, который я создал - как это?
Кроме того, технически этот новый пользователь Linux может просто удалить моего основного Linux пользователя ... Я имею в виду, что я могу просто щелкнуть правой кнопкой мыши по пользователю и нажать удалить через Filezilla, например, как я могу предотвратить это от происходящего? Хотя это не имеет значения, ведь он может просто удалить весь мой сервер?
Сейчас у меня на сервере:
Домашняя папка
- Домашняя папка> appBackend
- Домашняя папка > mainLinuxUser
- Домашняя папка> newLinuxUser
И последнее, но не менее важное: почему все всегда говорят никогда никому не предоставлять частный файл PEM ... в конце концов, Если я разрешил подключаться к моему EC2 только указанному c IP-адресу, то мне не о чем беспокоиться? То же, что я сделал для своей MongoDB - только если я добавлю IP-адрес, только тогда этот человек сможет подключиться и просмотреть мою базу данных. Итак, со всеми предыдущими разработчиками я поделился своей конфигурацией БД, это не имеет значения, поскольку их IP-адреса больше не входят в мою группу безопасности - я прав?
Извините, я новичок во всем этом, и я пытаюсь осмыслить все это. Я ценю любую помощь!