ssh mit Passwort in AWS EC2 instance

Question

Ich versuche, eine AWS-Instanz für etwa 90 Personen einzurichten, wo sie sftp in Dateien und ablegen können, aber es scheint, dass AWS Kennwörter für ssh blockiert und nur in ssh-verschlüsselten Anmeldungen von Standard.

Gibt es eine Möglichkeit, dieses Verhalten in AWS rückgängig zu machen und zuzulassen, dass ssh und damit sftp auftreten? Wenn ich ssh-Schlüssel zusammen mit Benutzernamen und Kennwörtern nicht handhaben muss, würde das großartig sein.

Answer 1

Öffnen Sie zunächst einige Terminalsitzungen auf der EC2-Maschine, falls die Änderung der SSH-Konfiguration fehlschlägt, haben Sie immer noch die Möglichkeit, die alten Werte wiederherzustellen.

bearbeiten /etc/ssh/sshd_config (nach einer Sicherungsdatei auf sshd_config.bak zu speichern) und die folgenden Zeilen ändern:

# Change to no to disable tunnelled clear text passwords 
PasswordAuthentication yes 

Darüber hinaus, wenn Sie möchten, Schlüssel basierte Authentifizierung deaktivieren:

PubkeyAuthentication no 

Save the Datei und starten Sie den SSH-Daemon neu:

sudo service ssh restart 

Erstellen Sie einen neuen Benutzer und legen Sie ein Passwort fest oder, falls bereits ein Passwort für einen bestehenden Benutzer festgelegt wurde: Öffnen Sie eine neue SSH-Sitzung und Sie können sich mit einem Passwort anmelden. Wenn die Lösung nicht funktioniert, verwenden Sie eine der anderen geöffneten Terminalsitzungen, um das alte sshd_config wiederherzustellen, starten Sie den ssh-Dienst neu und fahren Sie mit dem Debugging fort.

Answer 2

Sie können aktivieren Password Authentication nach HalloV Ratschläge, aber ich würde davon abraten.

Warum würden Sie nicht einfach SSH-Schlüssel verwenden?

Jede dieser 90 Personen sollte ihre eigenen privaten Schlüsseldateien haben, die sie täglich verwenden - jede Person, die Zugriff auf diesen Computer benötigt, sollten Sie nach ihrem öffentlichen Schlüssel fragen.

Nehmen Sie jeden öffentlichen Schlüssel des Entwicklers, und fügen Sie sie Zeile für Zeile, in eine Datei auf der EC2-Host bei

/home/<user>/.ssh/authorized_keys 

Von hier wird jeder Benutzer in der Lage sein, mit anmelden

ssh -i /path/to/private/key <user>@ec2.host.com 
sftp -oIdentityFile=~/.ssh/keyfile <user>@ec2.host.com 

Dies ist viel sicherer, da Sie kein einziges Passwort zwischen mehr als 90 Entwicklern haben müssen. Dieses Passwort wird irgendwann auf eine Notiz geschrieben und verloren gehen oder jemand ändert und sperrt die anderen 89 Entwickler.

Dies hat auch Vorteile darin, dass, wenn ein einziger dieser 90 Entwickler das Unternehmen verlässt, alles, was Sie tun müssen, ist, seinen öffentlichen Schlüssel von _authorized_keys_ zu entfernen, und diese Person verliert den Zugriff auf den Rechner, was Sie nicht benötigen Ändern Sie das gemeinsame Passwort für alle Benutzer.

Answer 3

Der kritische Teil ist es,/etc/ssh/sshd_config auf dem Server zu ändern und den SSH-Server neu zu starten (normalerweise "service sshd restart" - beachten Sie, dass es "sshd" ist, nicht "ssh" zumindest auf Red Hat).

PasswordAuthentication yes 

Sie können auch

sshd -t 

ausgeführt werden soll, bevor Sie „Service sshd restart“ ausgeführt, um sicherzustellen, dass Sie nicht versehentlich selbst durch einen Tippfehler in der Datei sshd_config Sie sperren.

Die Verwendung von öffentlichen Schlüsseln für die Authentifizierung ist wahrscheinlich sinnvoller, abhängig von Ihrem Szenario.

Wenn Sie die Authentifizierung mit öffentlichen Schlüsseln verwenden und etwa 50 Personen haben, stellen Sie sicher, dass Sie die Schlüssel auch ordnungsgemäß verwalten. Siehe https://www.ssh.com/iam/ssh-key-management oder NIST IR 7966 weitere Informationen. Die ordnungsgemäße Beendigung von Schlüsseln für Personen, die die Schule verlassen, wird auch von den meisten Compliance-Vorschriften verlangt, wenn Sie sich in Gesundheitsfürsorge, Finanzen, Behörden, kritischer Infrastruktur oder anderen geregelten Bereichen befinden. Geteilte Passwörter sind durch die meisten Vorschriften und generell durch schlechte Sicherheitsvorkehrungen ausdrücklich verboten.

Sie könnten auch auf CryptoAuditor https://www.ssh.com/products/cryptoauditor/, die Dateiübertragungsrichtlinien (Richtung etc) erzwingen können, stellen Sie sicher, dass Sie nicht versehentlich Shell Zugriff erteilen, wenn nicht benötigt, und es kann wer was getan (für beide Dateiübertragungen und Shell-Zugriff).