Gerencie chaves de host para seu servidor habilitado para SFTP - AWS Transfer Family
Quando importar chaves de host

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie chaves de host para seu servidor habilitado para SFTP

As chaves de host do servidor são chaves privadas usadas pelo servidor Transfer Family para fornecer uma identidade exclusiva ao chamador e garantir que ele seja o servidor correto. Essa garantia é aplicada pela presença da chave pública correta no arquivo do chamador. known_hosts (O known_hosts arquivo é um recurso padrão usado pela maioria dos clientes SSH para armazenar as chaves públicas dos servidores aos quais você se conectou.) Você pode recuperar a chave pública que corresponde à chave do host do servidor executando ssh-keyscan para o seu servidor.

Importante

A alteração acidental de uma chave de host do servidor pode causar interrupções. Dependendo de como seu cliente SFTP está configurado, ele pode falhar imediatamente, com a mensagem de que não existe uma chave de host confiável ou apresentar avisos ameaçadores. Se houver scripts para automatizar conexões, eles provavelmente também falharão.

Por padrão, AWS Transfer Family gera chaves de host para seu servidor habilitado para SFTP. Você pode importar chaves do host do servidor para preservar a identidade do host e evitar a atualização dos repositórios confiáveis do cliente. Quando importar chaves de hostlista alguns motivos pelos quais você pode querer fazer isso. Se você não fornecer chaves de host, novas chaves serão geradas para você.

AWS Transfer Family suporta várias chaves de host de diferentes tipos (RSA, ECDSA e ED25519) para fornecer compatibilidade com uma variedade mais ampla de algoritmos de assinatura de host do cliente. Diferentes tipos de chaves permitem algoritmos específicos: as chaves RSA habilitam os algoritmos rsa-*, as chaves ECDSA habilitam os algoritmos ecdsa-* e as chaves habilitam os algoritmos ed25519. ED25519 Planeje seus tipos de chave no momento da criação do servidor, pois a introdução de tipos de chaves adicionais depois que os clientes começarem a interagir com o servidor pode causar interrupções para alguns clientes e pode ser tão problemática quanto substituir as chaves de host existentes.

Para evitar que seus usuários sejam notificados para verificar a autenticidade do servidor habilitado para SFTP novamente, importe a chave do host do seu servidor on-premises para o servidor habilitado para SFTP. Isso também evita que seus usuários recebam um aviso sobre um possível man-in-the-middle ataque.

Você também pode alternar as chaves do host periodicamente, como medida de segurança adicional. Para obter detalhes, consulte Alterne as chaves do host do servidor.

nota

As chaves de host do servidor são usadas por servidores que oferecem suporte ao protocolo SFTP.

Quando importar chaves de host

Embora AWS Transfer Family possa gerar chaves de host automaticamente, há vários cenários em que importar suas próprias chaves de host oferece benefícios operacionais:

  • Migração de servidor - Você está migrando de um servidor existente para clientes existentes AWS Transfer Family e deseja evitar a atualização de armazenamentos confiáveis (known_hostsarquivos) de clientes existentes.

  • Recuperação de desastres e failover - Você tem vários AWS Transfer Family servidores (por exemplo, um no Leste dos EUA (Ohio) e outro no Oeste dos EUA (Oregon)) que compartilham o mesmo nome DNS público. O uso das mesmas chaves de host nos dois servidores garante um failover contínuo sem falhas na autenticação do cliente.

  • Continuidade operacional - Você deseja que o material da chave do host esteja disponível para uso com outros servidores (AWS Transfer Family ou não) no futuro para manter a identidade consistente do servidor em toda a sua infraestrutura.

  • Controle de algoritmo - Você deseja maior compatibilidade com o cliente fornecendo mais algoritmos de chave de host ou deseja controlar quais algoritmos os clientes podem usar oferecendo apenas chaves compatíveis com algoritmos específicos.

Os tópicos a seguir fornecem procedimentos detalhados para gerenciar as chaves do host do servidor: