Amazon web services Bastion如何提高EC2/EMR的安全性?
要连接到远程计算机,需要将我的公钥添加到其授权密钥中。按照这种逻辑,bastion的公钥将在EC2的授权密钥中有一个条目。这难道不意味着如果有人能够访问我的堡垒,只要他们拥有正确的主机和用户,他们就会自动访问我的EC2吗?Bastion是如何增强我的EC2的安全性的?黑客将公钥添加到Bastion或EC2中不是同样困难吗?你说得很对。在堡垒主机上存储密钥不是一个好主意 堡垒的目的是成为您的架构中“突出”到Internet的一部分,而其他资源隐藏在“墙”后面 事实上,堡垒的名称指的是“防御工事的突出部分,与墙线成一定角度,以便在多个方向进行防御火力。” 就像城堡有防御堡垒一样,你也应该通过不在堡垒上存放钥匙来防御堡垒 相反,您可以使用代理转发。这允许您SSH到bastion,然后使用相同的密钥对登录到另一台计算机,而无需将密钥对存储在bastion上Amazon web services Bastion如何提高EC2/EMR的安全性?,amazon-web-services,amazon-ec2,aws-security-group,Amazon Web Services,Amazon Ec2,Aws Security Group,要连接到远程计算机,需要将我的公钥添加到其授权密钥中。按照这种逻辑,bastion的公钥将在EC2的授权密钥中有一个条目。这难道不意味着如果有人能够访问我的堡垒,只要他们拥有正确的主机和用户,他们就会自动访问我的EC2吗?Bastion是如何增强我的EC2的安全性的?黑客将公钥添加到Bastion或EC2中不是同样困难吗?你说得很对。在堡垒主机上存储密钥不是一个好主意 堡垒的目的是成为您的架构中“突出”到Internet的一部分,而其他资源隐藏在“墙”后面 事实上,堡垒的名称指的是“防御工事的突
网上有大量信息可以解释代理转发,例如:存储在
授权密钥中的公钥不足以授予对另一台机器的访问权限。你需要私钥才能做到这一点。此外,您不应将私钥存储在个人计算机以外的任何位置。作为堡垒,最好在SSH配置中使用ProxyJump
。看到了吗?但是对于Bastion和EC2使用相同的密钥会是一个坏主意吗?这难道不会首先挫败拥有堡垒的目的吗?@KshitijKohli-SSH密钥是您作为授权系统用户的唯一标识符。只要你保持你的私钥私有,这意味着保持你的个人机器安全,拥有多个密钥没有额外的好处。要么不妥协,要么全部妥协。