SSH-kulcsok használata Windows rendszeren az Azure-ban

Cikk
03/16/2023

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Ez a cikk azoknak a Windows-felhasználóknak szól, akik biztonságos rendszerhéj- (SSH-) kulcsokat szeretnének létrehozni és használni a Linux rendszerű virtuális gépekhez való csatlakozáshoz az Azure-ban. SSH-kulcsokat is létrehozhat és tárolhat a Azure Portal, amelyek a virtuális gépek portálon való létrehozásakor használhatók.

Ha Linux- vagy macOS-ügyfélről szeretne SSH-kulcsokat használni, tekintse meg a gyors lépéseket. Az SSH részletesebb áttekintéséért lásd : Részletes lépések: SSH-kulcsok létrehozása és kezelése Linux rendszerű virtuális gépek azure-beli hitelesítéséhez.

Az SSH és a kulcsok áttekintése

Az SSH egy titkosított kapcsolati protokoll, amely biztonságos bejelentkezést tesz lehetővé a nem biztonságos kapcsolatokon keresztül. Az SSH az Azure-ban üzemeltetett Linux rendszerű virtuális gépek alapértelmezett kapcsolati protokollja. Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadásokkal szemben. Javasoljuk, hogy csatlakozzon egy virtuális géphez SSH-kapcsolaton keresztül egy nyilvános és privát kulcspár, más néven SSH-kulcsok használatával.

A nyilvános-titkos kulcspár olyan, mint a lakat a bejárati ajtódon. A zár ki van téve a nyilvánosság számára, bárki, aki a megfelelő kulccsal kinyitja az ajtót. A kulcs privát, és csak azoknak adható, akikben megbízik, mert fel lehet használni az ajtó kinyitására.

A nyilvános kulcs a Linux rendszerű virtuális gépen lesz elhelyezve a virtuális gép létrehozásakor.
A titkos kulcs a helyi rendszeren marad. Védje a titkos kulcsot. Ne ossza meg.

Amikor a Linux rendszerű virtuális géphez csatlakozik, a virtuális gép ellenőrzi az SSH-ügyfelet, hogy biztosan a megfelelő titkos kulccsal rendelkezik-e. Ha az ügyfél rendelkezik a titkos kulccsal, hozzáférést kap a virtuális géphez.

A szervezet biztonsági szabályzataitól függően egyetlen kulcspárt használhat több Azure-beli virtuális gép és szolgáltatás eléréséhez. Nincs szükség külön kulcspárra az egyes virtuális gépekhez.

A nyilvános kulcs bárkivel megosztható, de csak Önnek (vagy a helyi biztonsági infrastruktúrának) kell hozzáférnie a titkos kulcshoz.

Támogatott SSH-kulcsformátumok

Az Azure jelenleg támogatja a 2. SSH-protokoll (SSH-2) nyilvános-titkos RSA kulcspárokat, amelyek minimális hossza 2048 bit. Más kulcsformátumok, például az ED25519 és az ECDSA nem támogatottak.

SSH-ügyfelek

A Windows 10 legújabb verziói közé tartoznak az OpenSSH-ügyfélparancsok, amellyel SSH-kulcsokat hozhat létre és használhat, valamint SSH-kapcsolatokat hozhat létre a PowerShellből vagy egy parancssorból.

A Basht az Azure Cloud Shell is használhatja a virtuális géphez való csatlakozáshoz. A Cloud Shell használhatja webböngészőben, a Azure Portal vagy terminálként a Visual Studio Code-ban az Azure Account bővítmény használatával.

A Linuxos Windows-alrendszer is telepítheti, hogy SSH-n keresztül csatlakozzon a virtuális géphez, és más natív Linux-eszközöket használjon egy Bash-rendszerhéjban.

SSH-kulcs létrehozása

Az SSH-kulcsok létrehozásának és kezelésének legegyszerűbb módja, ha a portál használatával hozza létre és tárolja őket újra.

Kulcspárokat is létrehozhat az Azure CLI-vel az az sshkey create paranccsal, az SSH-kulcsok létrehozása és tárolása című cikkben leírtak szerint.

Ha sSH-kulcspárt szeretne létrehozni a helyi számítógépen a ssh-keygen PowerShell vagy egy parancssor parancsával, írja be a következő parancsot:

ssh-keygen -m PEM -t rsa -b 2048

Adjon meg egy fájlnevet, vagy használja a zárójelben látható alapértelmezett értéket (például C:\Users\username/.ssh/id_rsa). Adjon meg egy jelszót a fájlhoz, vagy hagyja üresen a jelszót, ha nem szeretne jelszót használni.

Virtuális gép létrehozása a kulccsal

Ha olyan Linux rendszerű virtuális gépet szeretne létrehozni, amely SSH-kulcsokat használ a hitelesítéshez, adja meg az SSH nyilvános kulcsát a virtuális gép létrehozásakor.

Az Azure CLI használatával megadhatja a nyilvános kulcs elérési útját és fájlnevét a használatával az vm create , valamint a paramétert --ssh-key-value .

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Ubuntu2204\
   --admin-username azureuser \
   --ssh-key-value ~/.ssh/id_rsa.pub

A PowerShell használatával használja New-AzVM és adja hozzá az SSH-kulcsot a virtuális gép konfigurációhoz a használatával. Példa: Rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure-ban a PowerShell használatával.

Ha sok üzembe helyezést végez a portálon, érdemes lehet feltöltenie a nyilvános kulcsot az Azure-ba, ahol könnyen kiválasztható, amikor virtuális gépet hoz létre a portálról. További információ: SSH-kulcs feltöltése.

Csatlakozás a virtuális géphez

Az Azure-beli virtuális gépen üzembe helyezett nyilvános kulccsal és a helyi rendszeren lévő titkos kulccsal az SSH-val lépjen a virtuális gépre a virtuális gép IP-címével vagy DNS-nevével. Cserélje le az azureuser és a 10.111.12.123 értéket a következő parancsban a rendszergazdai felhasználónévre, az IP-címre (vagy teljes tartománynévre) és a titkos kulcs elérési útjára:

ssh -i ~/.ssh/id_rsa azureuser@10.111.12.123

Ha még soha nem csatlakozott ehhez a virtuális géphez, a rendszer megkéri, hogy ellenőrizze a gazdagépek ujjlenyomatát. Csábító elfogadni a bemutatott ujjlenyomatot, de ez egy lehetséges személy számára teszi elérhetővé a középső támadásban. Mindig ellenőrizze a gazdagépek ujjlenyomatát. Ezt csak akkor kell megtennie, amikor először csatlakozik egy ügyfélről. A gazdagép ujjlenyomatának portálon keresztüli beszerzéséhez használja a Parancs futtatása parancsot a következő paranccsal: ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub | awk '{print $2}'.

Képernyőkép a gazdagép ujjlenyomatának ellenőrzéséről a Parancs futtatása paranccsal.

A parancs parancssori felülettel való futtatásához használja a az vm run-command invoke parancsot.

Ha a kulcspár létrehozásakor konfigurált egy jelszót, a rendszer kéri, hogy adja meg a jelszót.

Ha a virtuális gép az igény szerint megadott hozzáférési szabályzatot használja, a virtuális géphez való csatlakozás előtt hozzáférést kell kérnie. Az igényalapú szabályzattal kapcsolatos további információkért lásd: Virtuális gépek hozzáférésének kezelése a just in time szabályzat használatával.

Következő lépések

A virtuális gépek létrehozásakor használandó SSH-kulcsokról a Azure Portal az SSH-kulcsok létrehozása és tárolása a Azure Portal című témakörben olvashat.
A virtuális gépek létrehozásakor használandó SSH-kulcsokról az SSH-kulcsok létrehozása és tárolása az Azure CLI-vel című témakörben olvashat bővebben.
Az SSH-kulcsok használatának részletes lépéseit, beállításait és speciális példáit az SSH-kulcspárok létrehozásának részletes lépéseit ismertető cikkben találja.
Ha nehézséget okoz az SSH használata a Linux rendszerű virtuális gépekhez való csatlakozáshoz, tekintse meg az Azure Linux rendszerű virtuális gépekkel létesített SSH-kapcsolatok hibaelhárítását ismertető cikket.