Sichere Amazon EC2 EC2-Instances, die aus Lightsail-Snapshots gestartet wurden - Amazon Lightsail
Erstellen eines Schlüsselpaars mit Amazon EC2Erstellen Sie den öffentlichen Schlüssel mit Pu TTYgenVerbinden mit Ihrer Linux- oder Unix-Instance in Amazon EC2Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der VerbindungEntfernen Sie den Lightsail-StandardschlüsselEntfernen Sie den Lightsail-Systemschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sichere Amazon EC2 EC2-Instances, die aus Lightsail-Snapshots gestartet wurden

Amazon Lightsail und Amazon Elastic Compute Cloud (Amazon EC2) verwenden Public-Key-Kryptografie, um Anmeldeinformationen zu verschlüsseln und zu entschlüsseln. Bei der Kryptografie für öffentliche Schlüssel werden öffentliche Schlüssel eingesetzt, um Daten wie ein Passwort zu verschlüsseln. Der Empfänger entschlüsselt diese Daten dann mit einem privaten Schlüssel. Der öffentliche und der private Schlüssel werden als Schlüsselpaar bezeichnet.

Wenn Sie eine Linux- oder Unix-Lightsail-Instance nach EC2 exportieren, enthält die neue EC2-Instance Restschlüssel aus dem Lightsail-Dienst. Als bewährte Methode für die Sicherheit sollten Sie nicht benutzte Schlüssel aus Ihrer Instance entfernen.

Um die Sicherheit einer Linux- oder Unix-Instance in EC2 zu verbessern, die aus einem Lightsail-Snapshot erstellt wurde, empfehlen wir, dass Sie nach dem Erstellen der Instance die folgenden Aktionen ausführen:

  • Entfernen und ersetzen Sie den Lightsail-Standardschlüssel, wenn Sie ihn verwendet haben, um eine Verbindung zur Quellinstanz in Lightsail herzustellen. Der Lightsail-Standardschlüssel ist in Ihrer Amazon EC2 EC2-Instance nicht vorhanden, wenn Sie Ihren eigenen Schlüssel verwendet haben, um eine Verbindung zu Ihrer Instance herzustellen, oder wenn Sie einen Schlüssel für Ihre Instance in der Lightsail-Konsole erstellt haben.

  • Entfernen Sie den Lightsail-Systemschlüssel, der auch als Schlüssel bezeichnet wirdlightsail_instance_ca.pub. Dieser Schlüssel auf Linux- und Unix-Instances ermöglicht es dem browserbasierten Lightsail-SSH-Client, eine Verbindung herzustellen. Der lightsail_instance_ca.pub Schlüssel wird automatisch entfernt, wenn eine EC2-Instance mithilfe der Seite Create an Amazon EC2 Instance in der Lightsail-Konsole oder der Lightsail-API erstellt wird.

Inhalt

Erstellen eines Schlüsselpaars mit Amazon EC2

Verwenden Sie die Amazon EC2 EC2-Konsole, um ein neues key pair zu erstellen, mit dem Sie das Lightsail-Standardschlüsselpaar ersetzen können.

Wie Sie einen privaten Schlüssel mit Amazon EC2 erstellen

  1. Melden Sie sich bei der Amazon-EC2-Konsole an.

  2. Wählen Sie im linken Navigationsbereich Key Pairs (Schlüsselpaare).

  3. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

    Schlüsselpaare in der Amazon-EC2-Konsole.

  4. Geben Sie einen Namen für den Schlüssel in das Textfeld Name des Schlüsselpaars ein und wählen Sie dann key pair erstellen aus. Weitere Informationen zur Erstellung von Schlüsselpaaren in Amazon EC2 finden Sie unter Erstellen eines key pair für Ihre Amazon EC2 EC2-Instance im Amazon Elastic Compute Cloud-Benutzerhandbuch.

    Der neue private Schlüssel wird automatisch heruntergeladen. Notieren Sie sich, wo der private Schlüssel gespeichert wird. Sie benötigen es im folgenden TTYgen Abschnitt Erstellen Sie den öffentlichen Schlüssel mithilfe von Pu in diesem Handbuch, um einen öffentlichen Schlüssel zu erstellen.

    Schlüsselpaare in der Amazon-EC2-Konsole erstellen.

Erstellen Sie den öffentlichen Schlüssel mit Pu TTYgen

Pu TTYgen ist ein Tool, das in PuTTY enthalten ist. Verwenden Sie PuTTYgen , um den Text des öffentlichen Schlüssels zu generieren, den Sie später in diesem Handbuch zu Ihrer Instance hinzufügen.

Anmerkung

Weitere Informationen zur Konfiguration von PuTTY für die Connect Ihrer Linux- oder Unix-Instance finden Sie unter Verbindung zu einer Amazon EC2 EC2-Linux- oder Unix-Instance herstellen, die aus einem Lightsail-Snapshot erstellt wurde.

Um den öffentlichen Schlüssel mit Pu zu erstellen TTYgen

  1. Starten Sie PuTTYgen.

    Wählen Sie beispielsweise das Windows-Startmenü, wählen Sie Alle Programme, wählen Sie PuTTY und dann Pu TTYgen.

    PuTTY Key Generator.

  2. Wählen Sie Laden aus.

    Standardmäßig TTYgen zeigt Pu nur Dateien mit der Erweiterung.PPK an. Damit Sie die PEM-Datei finden, wählen Sie die Option zur Anzeige aller Dateitypen.

    Laden Sie den privaten Lightsail-Schlüssel in den PuTTY-Schlüsselgenerator.

  3. Navigieren Sie zum Speicherort Ihres privaten Schlüssels, der weiter oben in diesem Handbuch erstellt wurde. Wählen Sie den privaten Schlüssel und dann Open (Öffnen).

  4. Nachdem Pu TTYgen bestätigt hat, dass Sie den Schlüssel erfolgreich importiert haben, wählen Sie OK.

  5. Markieren Sie den Inhalt des Textfeldes Public key (Öffentlicher Schlüssel) und kopieren Sie ihn in die Zwischenablage, indem Sie Ctrl+C (Strg+C) drücken, wenn Sie Windows verwenden, oder Cmd+C, wenn Sie MacOS verwenden.

    Öffnen Sie einen Texteditor wie Notepad oder und fügen Sie den Text des öffentlichen Schlüssels ein TextEdit, indem Sie Strg+V drücken, wenn Sie Windows verwenden, oder Cmd+V, wenn Sie macOS verwenden. Speichern Sie die Datei mit Ihrem öffentlichen Schlüsseltext. Sie werden ihn später noch in diesem Handbuch benötigen.

    PuTTY Schlüsselgenerator.

  6. Fahren Sie mit dem Abschnitt Verbinden mit Ihrer Linux- oder Unix-Instance in Amazon EC2 dieses Handbuchs fort, um eine Verbindung zu Ihrer EC2-Instance herzustellen und den öffentlichen Schlüssel hinzuzufügen.

Verbinden mit Ihrer Linux- oder Unix-Instance in Amazon EC2

Stellen Sie mithilfe von SSH Connect zu Ihrer Linux- oder Unix-Instance in Amazon EC2 her, um den Lightsail-Standardschlüssel und den Systemschlüssel zu entfernen. Weitere Informationen finden Sie unter Connect zu einer Linux- oder Unix-Instance in Amazon EC2 herstellen, die aus einem Amazon Lightsail-Snapshot erstellt wurde.

Fahren Sie mit dem Abschnitt Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der Verbindung in diesem Handbuch fort, wenn Sie mit Ihrer Instance in Amazon EC2 verbunden sind.

Hinzufügen des öffentlichen Schlüssels zu Ihrer Instance und Testen der Verbindung

Der Inhalt des öffentlichen Schlüssels wird in der Datei ~/.ssh/authorized_keys auf Linux- und Unix-Instances gespeichert. Bearbeiten Sie die Datei, um den Lightsail-Standardschlüssel aus Ihrer Linux- oder Unix-Instance in Amazon EC2 zu entfernen und zu ersetzen.

So fügen Sie den öffentlichen Schlüssel zu Ihrer Instance hinzu und testen die Verbindung

  1. Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um die Datei authorized_keys mit dem Vim-Texteditor zu bearbeiten. 

    sudo vim ~/.ssh/authorized_keys
    Anmerkung

    Diese Schritte verwenden Vim zu Demonstrationszwecken. Sie können für diese Schritte jedoch jeden beliebigen Texteditor verwenden.

    Lightsail-Standardtaste.

  2. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  3. Geben Sie nach der Lightsail-Standardtaste eine zusätzliche Zeile ein.

  4. Kopieren und fügen Sie den Text des öffentlichen Schlüssels ein, den Sie zuvor diesem Handbuch folgend gespeichert haben.

    Das Ergebnis sollte wie folgt aussehen:

    Lightsail-Standardtaste.

  5. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  6. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Ihr neuer öffentlicher Schlüssel ist nun zu Ihrer Instance hinzugefügt. Um das neue Schlüsselpaar zu testen, trennen Sie die Verbindung zu Ihrer Instance. Konfigurieren Sie PuTTY so, dass Ihr neuer privater Schlüssel anstelle des Lightsail-Standardschlüssels verwendet wird. Wenn Sie mit Ihrem neuen key pair erfolgreich eine Verbindung zu Ihrer Instance herstellen können, fahren Sie mit dem Abschnitt Entfernen des Lightsail-Standardschlüssels in diesem Handbuch fort, um den Lightsail-Standardschlüssel zu entfernen.

Entfernen Sie den Lightsail-Standardschlüssel

Entfernen Sie den Lightsail-Standardschlüssel, nachdem Sie Ihrer Instance einen neuen öffentlichen Schlüssel hinzugefügt und mit dem neuen key pair erfolgreich eine Verbindung zu dieser hergestellt haben.

Um den Lightsail-Standardschlüssel zu entfernen

  1. Nachdem Sie eine SSH-Verbindung zu Ihrer Instance hergestellt haben, geben Sie den folgenden Befehl ein, um authorized_keys file mit dem Vim-Texteditor zu bearbeiten.

    sudo vim ~/.ssh/authorized_keys

  2. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  3. Löschen Sie die Zeile, die mit LightsailDefaultKeyPair endet. Dies ist der Lightsail-Standardschlüssel.

    Lightsail-Standardtaste.

  4. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  5. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Der Lightsail-Standardschlüssel ist jetzt aus Ihrer Instance entfernt. Ihre Instanz lehnt jetzt Verbindungen ab, die den Lightsail-Standardschlüssel verwenden. Fahren Sie mit dem Abschnitt Entfernen des Lightsail-Systemschlüssels in diesem Handbuch fort, um den Lightsail-Systemschlüssel zu entfernen.

Entfernen Sie den Lightsail-Systemschlüssel

Der Lightsail-Systemschlüssel, auch bekannt als der lightsail_instance_ca.pub Schlüssel, ermöglicht es dem browserbasierten Lightsail-SSH-Client auf Linux- und Unix-Instances, eine Verbindung herzustellen. Führen Sie die folgenden Schritte aus, um den lightsail_instance_ca.pub-Schlüssel aus Ihrer Linux- oder Unix-Instance in Amazon EC2 zu entfernen, und bearbeiten Sie die Datei /etc/ssh/sshd_config. Die /etc/ssh/sshd_config-Datei definiert die Parameter für SSH-Verbindungen zu Ihrer Instance.

Um den Lightsail-Systemschlüssel zu entfernen

  1. Geben Sie in einem mit Ihrer Instance verbundenen SSH-Terminalfenster den folgenden Befehl ein, um den Schlüssel lightsail_instance_ca.pub zu entfernen:

    sudo rm –r /etc/ssh/lightsail_instance_ca.pub

  2. Geben Sie den folgenden Befehl ein, um die Datei sshd_config mit dem Vim-Texteditor zu bearbeiten.

    sudo vim /etc/ssh/sshd_config

  3. Drücken Sie die Taste I, um in den Einfügemodus im Vim-Editor zu gelangen.

  4. Löschen Sie den folgenden Text aus der Datei, sofern vorhanden:

    TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub

  5. Drücken Sie die Taste ESC, und geben Sie dann :wq! ein, um Ihre Änderungen zu schreiben oder zu speichern und Vim zu beenden.

  6. Geben Sie den folgenden Befehl ein, um den Open SSH-Server neu zu starten:

    sudo /etc/init.d/sshd restart

    Das Ergebnis sollte in etwa wie folgt aussehen:

    Lightsail-Standardtaste.

    Der lightsail_instance_ca.pub-Schlüssel ist nun von Ihrer Instance entfernt. Die zugehörige Datei sshd_config wird aktualisiert, um diesen Schlüssel auszuschließen.