Gerencie as chaves de host SFTP-enabled do seu servidor

As chaves de host do servidor são chaves privadas usadas pelo servidor Transfer Family para fornecer uma identidade exclusiva ao chamador e garantir que ele seja o servidor correto. Essa garantia é aplicada pela presença da chave pública correta no arquivo do chamador. known_hosts (O known_hosts arquivo é um recurso padrão usado pela maioria dos clientes SSH para armazenar as chaves públicas dos servidores aos quais você se conectou.) Você pode recuperar a chave pública que corresponde à chave do host do servidor executando ssh-keyscan para o seu servidor.

Importante

A alteração acidental de uma chave de host do servidor pode causar interrupções. Dependendo de como seu cliente SFTP está configurado, ele pode falhar imediatamente, com a mensagem de que não existe uma chave de host confiável ou apresentar avisos ameaçadores. Se houver scripts para automatizar conexões, eles provavelmente também falharão.

Por padrão, AWS Transfer Family gera chaves de host para seu SFTP-enabled servidor. Você pode importar chaves do host do servidor para preservar a identidade do host e evitar a atualização dos repositórios confiáveis do cliente. Quando importar chaves de hostlista alguns motivos pelos quais você pode querer fazer isso. Se você não fornecer chaves de host, novas chaves serão geradas para você.

AWS Transfer Family oferece suporte a várias chaves de host de diferentes tipos (RSA, ECDSA e ED25519) para fornecer compatibilidade com uma variedade mais ampla de algoritmos de assinatura de host cliente. Diferentes tipos de chaves permitem algoritmos específicos: as chaves RSA ativam os algoritmos rsa-*, as chaves ECDSA habilitam os algoritmos ecdsa-* e as chaves ED25519 habilitam os algoritmos ed25519. Planeje seus tipos de chave no momento da criação do servidor, pois a introdução de tipos de chaves adicionais depois que os clientes começarem a interagir com o servidor pode causar interrupções para alguns clientes e pode ser tão problemática quanto substituir as chaves de host existentes.

Para evitar que seus usuários sejam solicitados a verificar a autenticidade do seu SFTP-enabled servidor novamente, importe a chave do host do seu servidor local para o servidor. SFTP-enabled Isso também impede que os usuários recebam um aviso sobre um possível ataque man-in-the-middle.

Você também pode alternar as chaves do host periodicamente, como medida de segurança adicional. Para obter detalhes, consulte Alterne as chaves do host do servidor.

nota

As chaves de host do servidor são usadas por servidores que oferecem suporte ao protocolo SFTP.

Quando importar chaves de host

Embora AWS Transfer Family possa gerar chaves de host automaticamente, há vários cenários em que importar suas próprias chaves de host oferece benefícios operacionais:

Migração de servidor - Você está migrando de um servidor existente para clientes existentes AWS Transfer Family e deseja evitar a atualização de armazenamentos confiáveis (known_hostsarquivos) de clientes existentes.
Recuperação de desastres e failover - Você tem vários AWS Transfer Family servidores (por exemplo, um no Leste dos EUA (Ohio) e outro no Oeste dos EUA (Oregon)) que compartilham o mesmo nome DNS público. O uso das mesmas chaves de host nos dois servidores garante um failover contínuo sem falhas na autenticação do cliente.
Continuidade operacional - Você deseja que o material da chave do host esteja disponível para uso com outros servidores (AWS Transfer Family ou não) no futuro para manter a identidade consistente do servidor em toda a sua infraestrutura.
Controle de algoritmo - Você deseja maior compatibilidade com o cliente fornecendo mais algoritmos de chave de host ou deseja controlar quais algoritmos os clientes podem usar oferecendo apenas chaves compatíveis com algoritmos específicos.

Os tópicos a seguir fornecem procedimentos detalhados para gerenciar as chaves do host do servidor:

Adicionar uma chave de host do servidor adicional- Adicione chaves de host adicionais ao seu servidor
Excluir uma chave de host do servidor- Remova as chaves do host do seu servidor
Alterne as chaves do host do servidor- Gire as chaves do host para aumentar a segurança
Informações adicionais sobre a chave do host do servidor- Visualize e gerencie os detalhes da chave do host

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Editar a configuração do provedor de identidade

Adicionar uma chave de host do servidor adicional