Administración de las claves de host de su servidor habilitado para SFTP - AWS Transfer Family
Cuándo importar las claves de host

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de las claves de host de su servidor habilitado para SFTP

Las claves de host del servidor son claves privadas que utiliza el servidor Transfer Family para proporcionar una identidad única a la persona que llama y garantizar que es el servidor correcto. Esa garantía se refuerza mediante la presencia de la clave pública correcta en el archivo de la persona que llamaknown_hosts. (El known_hosts archivo es una función estándar que utilizan la mayoría de los clientes SSH para almacenar las claves públicas de los servidores a los que te has conectado). Puedes recuperar la clave pública que corresponde a la clave de host de tu servidor ejecutándola ssh-keyscan para tu servidor.

importante

El cambio accidental de la clave de host de un servidor puede ser disruptivo. Según cómo esté configurado el cliente SFTP, puede fallar inmediatamente, con el mensaje de que no existe una clave de host de confianza o presentar mensajes amenazantes. Si hay scripts para automatizar las conexiones, lo más probable es que también fallen.

De forma predeterminada, AWS Transfer Family genera claves de host para el servidor habilitado para SFTP. Puede importar las claves de host del servidor para preservar la identidad del host y evitar actualizar los almacenes de confianza de los clientes. Cuándo importar las claves de hostenumera algunos motivos por los que puede que desee hacerlo. Si no proporciona claves de host, se generarán nuevas claves para usted.

AWS Transfer Family admite múltiples claves de host de diferentes tipos (RSA, ECDSA y ED25519) para ofrecer compatibilidad con una gama más amplia de algoritmos de firma del host del cliente. Los distintos tipos de claves permiten algoritmos específicos: las claves RSA activan los algoritmos rsa-*, las claves ECDSA activan los algoritmos ecdsa-* y las claves activan los algoritmos ed25519. ED25519 Planifique los tipos de claves al momento de crear el servidor, ya que introducir tipos de clave adicionales una vez que los clientes hayan empezado a interactuar con el servidor puede resultar perjudicial para algunos clientes y puede resultar tan problemático como sustituir las claves de host existentes.

Para evitar que sus usuarios reciban la soilicitud para verificar la autenticidad del servidor compatible con SFTP de nuevo, importe la clave de host del servidor en las instalaciones al servidor compatible con SFTP. De este modo, también se evita que los usuarios reciban una advertencia sobre un posible man-in-the-middle ataque.

También, puede rotar las claves del host periódicamente, como medida de seguridad adicional. Para obtener más información, consulte Rotar las claves del host del servidor.

nota

Los servidores que admiten el protocolo SFTP utilizan las claves de host del servidor.

Cuándo importar las claves de host

Si bien AWS Transfer Family puede generar claves de host automáticamente, hay varios escenarios en los que la importación de sus propias claves de host proporciona beneficios operativos:

  • Migración de servidores: está migrando de un servidor existente a un servidor existente AWS Transfer Family y desea evitar actualizar los almacenes de confianza (known_hostsarchivos) de los clientes existentes.

  • Recuperación ante desastres y conmutación por error: tiene varios AWS Transfer Family servidores (por ejemplo, uno en EE. UU. este (Ohio) y otro en EE. UU. oeste (Oregón)) que comparten el mismo nombre de DNS público. El uso de las mismas claves de host en ambos servidores garantiza una conmutación por error sin fallos en la autenticación del cliente.

  • Continuidad operativa: desea que el material clave del host esté disponible para su uso con otros servidores (AWS Transfer Family o de otro tipo) en el futuro a fin de mantener una identidad de servidor coherente en toda su infraestructura.

  • Control de algoritmos: desea una mayor compatibilidad con los clientes proporcionando más algoritmos de clave de host, o quiere controlar qué algoritmos pueden usar los clientes ofreciendo únicamente claves compatibles con algoritmos específicos.

En los temas siguientes se proporcionan procedimientos detallados para administrar las claves de host del servidor: