Вот мой вопросОграничения доступа пользователей с парой ключей: .pem головоломка
У меня есть экземпляр ес-2 на AWS, работающий под управлением Ubuntu Server. Во время первого запуска экземпляра я сгенерировал пару ключей, перейдя в консоль AWS -> Key Pairs -> Create key pair. Он сгенерировал ключ abcxxxx.pem, и я сохранил его.
Вот где проблема начинается
я возглавляю проект, где несколько разработчиков приходят и выключаться. Без слишком много думал, я распространил мой файл .pem до 2-3 разработчиков. Они покинули проект с тех пор, и я хочу ограничить доступ AWS только активными разработчиками. В принципе, я не хочу, чтобы 2-3 разработчики (с файлом .pem) получили доступ к моей машине.
Для всех новых разработчиков (я больше не распространять .pem файл), я даю доступ к AWS машины, вставив там
public key
в/home/ubuntu/.ssh/authorized_keys
. Это дает им доступ к машине.
Мои два вопроса являются
- Как я могу ограничить доступ к людям, которые уже .pem файла? Удалит их открытый ключ от
/home/ubuntu/.ssh/authorized_keys
. ПРИМЕЧАНИЕ: У меня все еще есть ключ, и у меня есть доступ к консоли AWS. - Как новые разработчики могут получить доступ к машине AWS без файла .pem? (Единственное, что я делаю, это вставить их открытый ключ в authorized_keys на AWS)
- Как я могу реализовать систему, в которой у меня есть единственный доступ, и я имею дело с разработчиками, входящими/выключенными в проекте?
- Все пользователи (включая меня), которые являются открытым ключом, находятся в авторизованных ключах на машине AWS, могут войти без файла .pem. Как это возможно? Не все ли нужны файлы .pem для ssh?
Я действительно запутался в этом бизнесе с ключевыми парами (в чем роль файла .pem?) И других сообщений в Интернете, похоже, не помогает (даже поддержка AWS). Большинство почтовых сценариев онлайн-адресов, где вы теряете ключ, и вы запускаете новый экземпляр и т. Д. И т. Д. Я связался с поддержкой AWS, и они просто отправили мне это link. Я не понимаю, как это помогает.
Любое решение/сложный ответ будет действительно полезным.
Это было очень полезно. Как правильно заметил U, завиток дает вам открытый ключ, который был сгенерирован при запуске экземпляра. В какой-то момент я удалил этот ключ из моих authorized_keys (не зная выше информации). Но, к счастью, у меня был открытый ключ моего ноутбука/рабочего стола в authorized_keys, и, следовательно, он смог войти в систему. Я проверил это, удалив оба открытых ключа (мой ноутбук и первый сгенерированный открытый ключ) и попытался подключиться к SSH, и он терпит неудачу. До тех пор, пока у меня нет открытого ключа, который был впервые создан в моих author_keys, даже разработчики с ключом pvt не смогут войти в систему. благодаря – am3