Zugriff auf die EC2-Instanz nach dem Verlust Schlüsselpaar

Boote ich eine EC2-Instanz vor Monaten und damals hatte ich die .pem-Schlüssel gespeichert ist in meinem PC. Der PC da ist abgestürzt und ich musste neu installieren Windows auf, und ich habe nicht ein backup von der .pem-Datei

Gibt es eine Möglichkeit für mich zu bekommen, um die Eingabeaufforderung für die EC2-instance - jeder Weg, um ssh oder anderweitig erhalten, zum Beispiel?

InformationsquelleAutor bachposer | 2011-10-31
  1. 8

    Nicht leicht.

    Anleitung in den Foren zeigen, dass Sie es tun, durch das generieren eines neuen Schlüsselpaares und dann bringen, eine neue Instanz und Montage der Lautstärke von der ursprünglichen Instanz und installieren Sie das Schlüsselpaar in diesem Volumen. Danach wird die original-Instanz sollte in der Lage sein, die Verwendung der neuen Schlüsselpaar.

    Laut in diesem Beitrag AWS-Developer-Foren es kann erreicht werden über:

    Erstellen Sie ein neues Schlüsselpaar downloads den privaten Schlüssel auf Ihrem Rechner, und der öffentliche Schlüssel gespeichert ist in Ihrem AWS-Konto. Wenn Sie starten ein neues (linux -) Instanz-der öffentliche Schlüssel wird in die /root/.ein.ssh/authorized_keys-Datei (oder /home/ubuntu/.ssh/authorized_keys für Canonical Ubuntu AMIs), so dass Sie Ihren privaten Schlüssel Zugang zu der Instanz.

    Verlieren den privaten Schlüssel befestigt werden kann, indem Sie sich in die Instanz über einen anderen linux-Konto, wenn Sie eins eingerichtet haben.

    Alternativ, wenn Sie mit einer EBS-backed-Instanz, dann können Sie es zu Stoppen, fügen Sie die root-EBS-volume zu einer anderen Instanz, und setzen Sie einen neuen öffentlichen Schlüssel in die Datei authorized_keys, dann wieder die Lautstärke auf den ursprünglichen (beendet) - Instanz, und Starten Sie die Instanz erneut.

    Wenn keine dieser Arbeit, dann - sorry - hast du Pech. Gibt es einen Schlüssel, weil Sie nicht ohne es.

    InformationsquelleAutor John Weldon
  2. 3

    Erstellen Sie eine Abbildung der aktuellen Instanz und verwenden Sie dann das Bild zum starten der neuen Instanz. Alle Dateien und Daten kopieren würden von dieser Instanz und verwenden Sie unterschiedliche Schlüssel beim starten der Instanz, so ist der Zugang mit gleichen Schlüssel

    InformationsquelleAutor Ramprasad
  3. 2

    Wenn wir verlieren, privaten Schlüssel, können Sie sich nicht anmelden, um die Maschine. Jedoch, es ist ein weiterer Weg, den Zugang zu der Maschine durch die Generierung eines neuen Schlüsselpaars

    Bitte befolgen Sie die nachstehenden Schritte, um den Schlüssel wiederherzustellen.

    Schritt 1) Trennen Sie Ihr root-volume von Ihrem Computer mit Hilfe der AWS-Konsole.

    Schritt 2) Starten Sie eine frische EC2-Instanz(Nicht von der alten Maschine AMI)

    Schritt 3) Befestigen Sie Ihre alte Band zu neuen EC2-Maschine

    Schritt 4) Jetzt anmelden, um neue ec2-Maschine und montieren Sie die alte EBS-volume

    Schritt 5) Nun gehe auf die partition, dann besuchen Sie home-Verzeichnis im inneren der Maschine und gehen Sie zu .ssh-Ordner.

    Schritt 6) Jetzt erzeugen eines neuen privaten und öffentlichen Schlüssel. Dann fügen Sie den öffentlichen Schlüssel in der authorized_keys-Datei.

    Schritt 7) wenn Sie fertig mit den oben genannten Schritte, trennen Sie das volume aus, das ec2-Maschine.

    Schritt 8) befestigen Sie Nun das volume auf der alten Maschine als root-volume

    Schritt 9) Nun versuchen Sie den login zu Ihrer alten Maschine mit dem neu generierten Schlüssel.

    Hoffe, es hilft !!

    InformationsquelleAutor Roshan
  4. 0

    Allgemeine Idee: Verwenden Sie die AWS-Instanz die Nutzer-Daten zu schreiben, eine neue ssh-rsa öffentlichen Schlüssel in /root/.ein.ssh/authorized_keys. Die cloud-init-Paket installiert auf dem linux-Instanz muss die bootcmd Richtlinie. Bei mir hat es geklappt mit Ubuntu 16.04 und 18.04.

    Benutzer-Daten Beispiel:

    #cloud-config
bootcmd:
 - echo 'ssh-rsa AAAAB3NzaC1... key-comment' > /root/.ssh/authorized_keys

    Dies kann manuell erfolgen, z.B. erstellen Sie einen neuen Schlüssel mit PuTTYgen, und legen Sie die Benutzer-Daten, die für die EC2-instance über die AWS-Konsole.

    Oder automatisiert, z.B. mit Java unter Verwendung der AWS EC2 Java SDK und Hüpfburg:

    import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileReader;
import java.io.FileWriter;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.interfaces.RSAPublicKey;
import java.text.SimpleDateFormat;
import java.util.Base64;
import java.util.Date;
import org.bouncycastle.openssl.PEMKeyPair;
import org.bouncycastle.openssl.PEMParser;
import org.bouncycastle.openssl.jcajce.JcaPEMKeyConverter;
import org.bouncycastle.openssl.jcajce.JcaPEMWriter;
import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.ec2.AmazonEC2;
import com.amazonaws.services.ec2.AmazonEC2ClientBuilder;
import com.amazonaws.services.ec2.model.DescribeInstancesRequest;
import com.amazonaws.services.ec2.model.InstanceStateName;
import com.amazonaws.services.ec2.model.ModifyInstanceAttributeRequest;
import com.amazonaws.services.ec2.model.StartInstancesRequest;
import com.amazonaws.services.ec2.model.StopInstancesRequest;

public class RecoverAwsEc2RootSshAccess {
  public static void main(String[] args) throws Exception {
    //use the AWS console to create an AWS IAM user with ec2 permissions for your region, and generate security credentials
    String awsAccessKey = "...";
    String awsSecretKey = "...";
    Regions region = Regions.US_EAST_1;
    String instanceId = "i-...";

    File pemKeyFile = new File("private.key.pem");
    String keyComment = "key-generated-" + new SimpleDateFormat("yyyyMMdd-HHmmss").format(new Date());

    KeyPair keyPair;
    if(pemKeyFile.exists()) {
      System.out.println("reusing existing RSA private key: " + pemKeyFile.getAbsolutePath());
      try(PEMParser pemParser = new PEMParser(new FileReader(pemKeyFile))) {
        keyPair = new JcaPEMKeyConverter().getKeyPair((PEMKeyPair) pemParser.readObject());
      }
    }
    else {
      System.out.println("generating new RSA private key: " + pemKeyFile.getAbsolutePath());
      KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
      keyGen.initialize(2048);
      keyPair = keyGen.generateKeyPair();
      try(JcaPEMWriter pemWriter = new JcaPEMWriter(new FileWriter(pemKeyFile))) {
        pemWriter.writeObject(keyPair.getPrivate());
      }
    }

    String authorized_keys = to_authorized_keys_line(keyPair, keyComment);
    String userdata = "#cloud-config";
    userdata += "\n" + "bootcmd:";
    userdata += "\n" + " - echo '" + authorized_keys + "' > /root/.ssh/authorized_keys";
    String userdataBase64 = Base64.getEncoder().encodeToString(userdata.getBytes(StandardCharsets.UTF_8));
    System.out.println("AWS instance user-data (can also be set manually via the AWS console):");
    System.out.println(userdata);

    AmazonEC2 ec2 = AmazonEC2ClientBuilder.standard().withRegion(region) //
        .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(awsAccessKey, awsSecretKey))).build();

    //stop, set userdata, start
    ec2.stopInstances(new StopInstancesRequest().withInstanceIds(instanceId));
    waitForInstanceState(ec2, instanceId, InstanceStateName.Stopped);
    ec2.modifyInstanceAttribute(new ModifyInstanceAttributeRequest().withInstanceId(instanceId).withUserData(userdataBase64));
    ec2.startInstances(new StartInstancesRequest().withInstanceIds(instanceId));
    waitForInstanceState(ec2, instanceId, InstanceStateName.Running);

    //optional: stop, clear userdata, start

    System.out.println("new IP: " + ec2.describeInstances(new DescribeInstancesRequest().withInstanceIds(instanceId)).getReservations()
        .get(0).getInstances().get(0).getPublicIpAddress());

    //next step: automate DNS update
  }

  private static void waitForInstanceState(AmazonEC2 ec2, String instanceId, InstanceStateName desiredState) throws Exception {
    String currentState = "?";
    while(!currentState.equals(desiredState.toString())) {
      Thread.sleep(3_000);
      currentState = ec2.describeInstances(new DescribeInstancesRequest().withInstanceIds(instanceId)).getReservations().get(0)
          .getInstances().get(0).getState().getName();
      System.out.println("instance state: " + currentState + " (waiting for " + desiredState + ")");
    }
  }

  /** https://stackoverflow.com/questions/3706177/how-to-generate-ssh-compatible-id-rsa-pub-from-java */
  private static String to_authorized_keys_line(KeyPair key, String keyComment) throws IOException {
    byte[] exponent = ((RSAPublicKey) key.getPublic()).getPublicExponent().toByteArray();
    byte[] modulus = ((RSAPublicKey) key.getPublic()).getModulus().toByteArray();
    ByteArrayOutputStream out = new ByteArrayOutputStream();
    out.write(new byte[] { 0, 0, 0, 7, 's', 's', 'h', '-', 'r', 's', 'a' });
    out.write(toUInt32(exponent.length));
    out.write(exponent);
    out.write(toUInt32(modulus.length));
    out.write(modulus);
    return "ssh-rsa " + Base64.getEncoder().encodeToString(out.toByteArray()) + " " + keyComment;
  }

  private static byte[] toUInt32(int value) {
    return new byte[] { (byte) (value >>> 24 & 0xff), (byte) (value >>> 16 & 0xff), (byte) (value >>> 8 & 0xff), (byte) (value & 0xff) };
  }
}

    Schließlich testen Sie die Verbindung, z.B. mit FileZilla:

    Zugriff auf die EC2-Instanz nach dem Verlust Schlüsselpaar

    InformationsquelleAutor Reto Höhener
Schreibe einen Kommentar