Tämä ohje on tarkoitettu käyttäjille, jotka asentavat unix-pohjaisia instansseja Pilveen ja on epäselvää miten käyttäjähallinta pitää tehdä.
Tietoturva
Huomaathan että SSH-pääsy palvelimelle maailmalta (0.0.0.0/0) mahdollistaa hakkereiden bruteforce-hyökkäykset varsinkin jos salasana-kirjautuminen on mahdollistettu. Suosittelemme palomuuraamaan palvelimen SSH-pääsyn mahdollisimman tiukasti.
Avaimia ei voi Pilvestä instanssin luonnin jälkeen myöhemmin enää vaihtaa tai lisätä. Valittu avain on ainoa tapa päästä palvelimeen käsiksi heti asennuksen jälkeen.
Pilvessä tarjolla olevissa Linux-imageissa on oletuksena salasana-tunnistautuminen SSH:n yli estetty, joten oletuskäyttäjälle (centos, debian, ec2-user, ubuntu) asetettu salasana ei SSH:n yli toimi. Pilven hallintapaneelissa konsolin kautta instanssiin kuitenkin pääsee sisään salasanalla heti kun käyttäjä on asettanut salasanan tunnukselle.
Luodessasi instanssia valitse Key pair (avainpari) käyttöön, ja asennuksen jälkeen kirjaudu palvelimelle sisään. Tästä eteenpäin käyttäjähallinta pitää tehdä käsin, Pilven hallinta ei voi enää osallistua avainten lisäämiseen tai poistamiseen. Käyttäjien ja avainten hallinta on siis tehtävä niinkuin instanssi olisi normaali palvelin.
Käytettävissä on tässä ohjeessa viisi mallia:
1.Yksi käyttäjä, Jaettu avain (ei suositeltu)
Jokaiselle instanssin käyttäjälle jaetaan sama private-avain, kaikki kirjautuvat samalla avaimella oletuskäyttäjänä sisään. Emme suosittele tätä mallia tietoturvasyistä, avain voi vahingossa levitä vääriin käsiin monesta eri lähteestä.
2.Yksi hyppypalvelin, useita käyttäjiä
Voitte tallentaa private-avaimen omalle hyppypalvelimelle (bastion) ja antaa käyttäjille oikeudet käyttää avainta esim sudo-mekanismin läpi
sudo –u pilviuser ssh centos@x.x.x.x
Näin jos tulee uusia palvelimia tai avaimia vaihdetaan, vaihtaminen hyppypalvelimelta riittää. Avainta/avaimia ei koskaan tarvitse jakaa käyttäjille.
3.Yksi käyttäjä, monta avainta
Käyttäjät lähettävät ylläpitäjälle oman avainparinsa julkisen puolen (public). Ylläpitäjä käy lisäämässä palvelimella oletuskäyttäjän authorized_keys tiedostoon kaikkien public-avaimet.
4. Monta käyttäjää, monta avainta (suositeltu)
Kirjaudu instanssille asennuksen jälkeen ja luo jokaiselle käyttäjälle henkilökohtainen tunnus, ja tallenna käyttäjien julkiset avaimet kunkin authorized_keys tiedostoon.
ssh centos@x.x.x.x sudo -i useradd petri useradd mikko useradd maija echo "ssh-rsa xxzzyy..." > ~petri/.ssh/authorized_keys echo "ssh-rsa yyzzxx..." > ~mikko/.ssh/authorized_keys echo "ssh-rsa zzyyxx..." > ~maija/.ssh/authorized_keys for x in `ls /home`; do chown -R $x /home/$x; done
5. Monta käyttäjää, salasanatunnistautuminen (ei suositeltu)
Kirjaudu instanssille asennuksen jälkeen ja luo jokaiselle käyttäjälle henkilökohtainen tunnus, aseta käyttäjille salasanat. Muokkaa /etc/ssh/sshd_config tiedostoa ja salli salasanatunnistautuminen. Ilmoita käyttäjille henkilökohtaiset käyttäjätunnukset ja salasanat.
Tarkista /etc/cloud/cloud.cfg tiedostosta asetukset ettei Pilven cloud-init nollaa sshd_config –asetusta uudelleenkäynnistyksessä.
Emme suosittele salasanakirjautumisen mahdollistamista lainkaan.
Myös oletuskäyttäjälle voi asettaa salasanan mutta emme tietoturvasyistä listaa sitä vaihtoehdoksi, emme missään nimessä suosittele sitä. Riippuen cloud-init asetuksista, oletuskäyttäjän salasanakin voi vaihtua uudelleenkäynnistyksessä.