Gestisci le chiavi host per il tuo server compatibile con SFTP - AWS Transfer Family
Quando importare le chiavi dell'host

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci le chiavi host per il tuo server compatibile con SFTP

Le chiavi host del server sono chiavi private utilizzate dal server Transfer Family per fornire un'identità univoca al chiamante e per garantire che si tratti del server corretto. Tale garanzia è garantita dalla presenza della chiave pubblica corretta nel file del chiamante. known_hosts (Il known_hosts file è una funzionalità standard utilizzata dalla maggior parte dei client SSH per archiviare le chiavi pubbliche dei server a cui ti sei connesso.) È possibile recuperare la chiave pubblica che corrisponde alla chiave dell'host del server eseguendo l'esecuzione ssh-keyscan per il server.

Importante

La modifica accidentale della chiave host di un server può creare problemi. A seconda di come è configurato il client SFTP, può fallire immediatamente, con il messaggio che non esiste una chiave host affidabile o presentare richieste pericolose. Se esistono script per automatizzare le connessioni, molto probabilmente anche questi fallirebbero.

Per impostazione predefinita, AWS Transfer Family genera chiavi host per il server compatibile con SFTP. È possibile importare le chiavi dell'host del server per preservare l'identità dell'host ed evitare di aggiornare gli archivi di fiducia dei client. Quando importare le chiavi dell'hostelenca alcuni motivi per cui potresti volerlo fare. Se non fornite le chiavi host, ne verranno generate di nuove.

AWS Transfer Family supporta più chiavi host di diversi tipi (RSA, ECDSA e ED25519) per garantire la compatibilità con una gamma più ampia di algoritmi di firma dell'host client. Diversi tipi di chiavi consentono algoritmi specifici: le chiavi RSA abilitano gli algoritmi rsa-*, le chiavi ECDSA abilitano gli algoritmi ecdsa-* e le chiavi abilitano gli algoritmi ed25519. ED25519 Pianifica i tipi di chiave al momento della creazione del server, poiché l'introduzione di tipi di chiave aggiuntivi dopo che i client hanno iniziato a interagire con il server può causare interruzioni per alcuni client e può essere tanto problematica quanto la sostituzione delle chiavi host esistenti.

Per evitare che agli utenti venga richiesto di verificare nuovamente l'autenticità del server compatibile con SFTP, importate la chiave host per il server locale nel server compatibile con SFTP. In questo modo si evita inoltre che gli utenti ricevano avvisi su un potenziale attacco. man-in-the-middle

Puoi anche ruotare periodicamente le chiavi dell'host, come misura di sicurezza aggiuntiva. Per informazioni dettagliate, consultare Ruota le chiavi dell'host del server.

Nota

Le chiavi host del server vengono utilizzate dai server che supportano il protocollo SFTP.

Quando importare le chiavi dell'host

Sebbene sia AWS Transfer Family possibile generare chiavi host automaticamente, esistono diversi scenari in cui l'importazione di chiavi host personalizzate offre vantaggi operativi:

  • Migrazione del server: state migrando da un server esistente a AWS Transfer Family e volete evitare di aggiornare gli archivi di fiducia dei client (known_hostsfile) per i client esistenti.

  • Disaster recovery e failover: disponi di più AWS Transfer Family server (ad esempio, uno negli Stati Uniti orientali (Ohio) e uno negli Stati Uniti occidentali (Oregon)) che condividono lo stesso nome DNS pubblico. L'utilizzo delle stesse chiavi host su entrambi i server garantisce un failover senza problemi di autenticazione del client.

  • Continuità operativa: si desidera che il materiale chiave dell'host sia disponibile per l'uso con altri server (AWS Transfer Family o altro) in futuro per mantenere l'identità del server coerente in tutta l'infrastruttura.

  • Controllo degli algoritmi: desiderate una maggiore compatibilità dei client fornendo più algoritmi a chiave host oppure desiderate controllare quali algoritmi possono utilizzare i client offrendo solo chiavi compatibili con algoritmi specifici.

I seguenti argomenti forniscono procedure dettagliate per la gestione delle chiavi host del server: