הגבלת מפתחות SSH ממכונות וירטואליות

במסמך הזה מוסבר איך למנוע ממשתמשים לגשת למכונות וירטואליות (VM) על ידי הסרה וחסימה של מפתחות SSH מהמכונות הווירטואליות.

לפני שמתחילים

  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

    gcloud

    1. התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init
  • הגדרת אזור ותחום כברירת מחדל

    • REST

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

      התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.

    מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .

הסרת מפתחות SSH

אפשר להסיר מפתח SSH ציבורי מהמטא-נתונים של הפרויקט או המכונה באמצעות מסוףCloud de Confiance , ה-CLI של gcloud או Compute Engine API.

אחרי שמסירים את המפתח האחרון ממטא-נתונים של משתמש מסוים, או אחרי שתוקף המפתח האחרון במטא-נתונים של משתמש מסוים פג, מערכת Compute Engine מוחקת את הקובץ ~/.ssh/authorized_keys של המשתמש במכונה הווירטואלית.

הסרת מפתח ציבורי ממטא-נתונים של פרויקט

כדי להסיר גישה לכל מכונות ה-VM בפרויקט, מסירים מפתח SSH ציבורי מהמטא-נתונים של הפרויקט.

כשמסירים מפתח ממטא-נתונים באמצעות ה-CLI של gcloud ו-Compute Engine API, צריך לאחזר את רשימת המפתחות הקיימים, לערוך את רשימת המפתחות כדי להסיר את המפתחות הלא רצויים, ולהחליף את המפתחות הישנים ברשימת המפתחות שרוצים לשמור, כמו שמוסבר בקטע הבא.

המסוף

כדי להסיר מפתח ציבורי SSH ממטא-נתונים של פרויקט באמצעות מסוףCloud de Confiance :

  1. נכנסים לדף Metadata במסוף Cloud de Confiance .

    מעבר אל Metadata

  2. לוחצים על הכרטיסייה מפתחות SSH.

  3. לוחצים על עריכה בחלק העליון של הדף.

  4. מנווטים למפתח ה-SSH שרוצים להסיר ולוחצים על לחצן המחיקה לצד מפתח ה-SSH.

    חוזרים על השלב הזה לכל מפתח SSH שרוצים להסיר.

  5. לוחצים על Save.

gcloud

כדי להסיר מפתח ציבורי SSH ממטא-נתונים של פרויקט באמצעות ה-CLI של gcloud, מבצעים את הפעולות הבאות:

  1. מריצים את הפקודה gcloud compute project-info describe כדי לקבל את המטא-נתונים של הפרויקט:

    gcloud compute project-info describe

    הפלט אמור להיראות כך:

    ...
metadata:
  ...
  - key: ssh-keys
    value: |-
      cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF
      baklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}
...

  2. מעתיקים את ערך המטא-נתונים ssh-keys.

  3. יוצרים ופותחים קובץ טקסט חדש בתחנת העבודה.

  4. בקובץ, מדביקים את רשימת מפתחות ה-SSH שהעתקתם, ואז מוחקים את המפתחות שרוצים להסיר מהמטא-נתונים של הפרויקט.

  5. שומרים את הקובץ וסוגרים אותו.

  6. מריצים את הפקודה gcloud compute project-info add-metadata כדי להגדיר את הערך ssh-keys ברמת הפרויקט:

    gcloud compute project-info add-metadata --metadata-from-file=ssh-keys=KEY_FILE

    מחליפים את KEY_FILE באחד מהערכים הבאים:

    • הנתיב לקובץ שיצרתם בשלב הקודם, אם בפרויקט היו מפתחות SSH קיימים
    • הנתיב לקובץ של מפתח ה-SSH הציבורי החדש, אם בפרויקט לא היו מפתחות SSH קיימים

REST

כדי להסיר מפתח ציבורי SSH ממטא-נתונים של פרויקט באמצעות Compute Engine API:

  1. משתמשים בשיטה projects.get כדי לקבל את הערכים fingerprint ו-ssh-keys ממטא-נתונים.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט.

    התגובה אמורה להיראות כך:

    ...
"fingerprint": "utgYE_XWtE8=",
"items": [
 {
  "key": "ssh-keys",
  "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
 }
]
...

  2. מעתיקים את רשימת הערכים של מפתחות ה-SSH ומוחקים את המפתחות שרוצים להסיר.

  3. משתמשים ב-projects.setCommonInstanceMetadata כדי להסיר את מפתחות ה-SSH.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/setCommonInstanceMetadata

{
"items": [
 {
  "key": "ssh-keys",
  "value": "EXISTING_SSH_KEYS"
 }
]
"fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • EXISTING_SSH_KEYS: רשימת מפתחות ה-SSH שרוצים לשמור
    • FINGERPRINT: הערך של fingerprint מהתגובה לבקשת projects.get

הסרה של מפתח SSH ציבורי ממטא-נתונים של מכונה

כדי להסיר גישה למכונה וירטואלית אחת, מסירים מפתח SSH ציבורי ממטא-נתונים של מכונה.

כשמסירים מפתח ממטא-נתונים באמצעות ה-CLI של gcloud ו-Compute Engine API, צריך לאחזר את רשימת המפתחות הקיימים, לערוך את רשימת המפתחות כדי להסיר את המפתחות הלא רצויים, ולהחליף את המפתחות הישנים ברשימת המפתחות שרוצים לשמור, כמו שמוסבר בקטע הבא.

המסוף

כדי להסיר מפתח ציבורי SSH ממטא-נתונים של מכונה באמצעות מסוףCloud de Confiance , מבצעים את השלבים הבאים:

  1. נכנסים לדף VM instances במסוף Cloud de Confiance .

    כניסה לדף VM instances

  2. לוחצים על שם המכונה הווירטואלית שרוצים להסיר ממנה מפתח.

  3. לוחצים על Edit.

  4. בקטע SSH Keys (מפתחות SSH), לוחצים על Show and edit (הצגה ועריכה). הקטע מתרחב ומוצגים בו כל המפתחות הציבוריים של SSH ברמת המופע.

  5. לוחצים על לחצן המחיקה לצד מפתח ה-SSH שרוצים להסיר.

    חוזרים על השלב הזה לכל מפתח SSH שרוצים להסיר.

  6. לוחצים על Save.

gcloud

כדי להסיר מפתח SSH ציבורי ממטא-נתונים של מכונה באמצעות ה-CLI של gcloud, מבצעים את הפעולות הבאות:

  1. מריצים את הפקודה gcloud compute instances describe כדי לקבל את המטא-נתונים של מכונת ה-VM:

    gcloud compute instances describe VM_NAME

    מחליפים את VM_NAME בשם של המכונה הווירטואלית שרוצים להוסיף או להסיר ממנה מפתחות SSH ציבוריים.

    הפלט אמור להיראות כך:

    ...
metadata:
...
- key: ssh-keys
 value: |-
   cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF
   baklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}
...

  2. מעתיקים את ערך המטא-נתונים ssh-keys.

  3. יוצרים ופותחים קובץ טקסט חדש בתחנת העבודה המקומית.

  4. בקובץ, מדביקים את רשימת מפתחות ה-SSH שהעתקתם, ואז מסירים את המפתחות שרוצים למחוק.

  5. שומרים את הקובץ וסוגרים אותו.

  6. מריצים את הפקודה gcloud compute project-info add-metadata כדי להגדיר את הערך ssh-keys ברמת הפרויקט:

    gcloud compute instances add-metadata VM_NAME --metadata-from-file ssh-keys=KEY_FILE

    מחליפים את מה שכתוב בשדות הבאים:

    • VM_NAME: המכונה הווירטואלית שרוצים להסיר ממנה את מפתח ה-SSH
    • KEY_FILE: הנתיב לקובץ שמכיל את רשימת כל מפתחות ה-SSH של הפרויקט

REST

כדי להסיר מפתח ציבורי SSH ממטא-נתונים של מופע באמצעות Compute Engine API, מבצעים את הפעולות הבאות:

  1. משתמשים בשיטה instances.get כדי לקבל את הערכים fingerprint ו-ssh-keys ממטא-נתונים.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • ZONE: האזור של המכונה הווירטואלית שמוסיפים לה מפתח SSH
    • VM_NAME: המכונה הווירטואלית שאליה מוסיפים מפתח SSH

    התגובה אמורה להיראות כך:

    ...
"fingerprint": "utgYE_XWtE8=",
"items": [
{
 "key": "ssh-keys",
 "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
}
]
...

  2. מעתיקים את רשימת הערכים של מפתחות ה-SSH ומוחקים את המפתחות שרוצים להסיר.

  3. משתמשים ב-instances.setMetadata כדי להסיר את מפתחות ה-SSH.

    
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setMetadata

{
"items": [
 {
  "key": "ssh-keys",
  "value": "EXISTING_SSH_KEYS
 }
]
"fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • EXISTING_SSH_KEYS: הערך של מפתח ssh-keys מהתגובה לבקשת projects.get
    • FINGERPRINT: הערך של fingerprint מהתגובה לבקשת instances.get

חסימת מפתחות SSH של פרויקט ממכונות וירטואליות שמשתמשות במפתחות SSH שמבוססים על מטא-נתונים

כדי למנוע ממכונות וירטואליות לקבל מפתחות SSH ששמורים במטא-נתונים של הפרויקט, אפשר לחסום את מפתחות ה-SSH של הפרויקט במכונות הווירטואליות. אפשר לחסום מפתחות SSH של פרויקט ממכונות וירטואליות כשיוצרים מכונה וירטואלית או אחרי שיוצרים מכונה וירטואלית.

חסימת מפתחות SSH של פרויקט ממכונה וירטואלית במהלך יצירת המכונה הוירטואלית

אתם יכולים לחסום מפתחות SSH של פרויקטים ממכונות וירטואליות במהלך יצירת המכונות הווירטואליות, באמצעותCloud de Confiance המסוף, ה-CLI של gcloud או Compute Engine API.

המסוף

כדי ליצור מכונה ולחסום אותה מקבלת מפתחות SSH ששמורים במטא-נתונים של הפרויקט באמצעות מסוף Cloud de Confiance :

  1. נכנסים לדף Create an instance במסוף Cloud de Confiance .

    כניסה לדף Create an instance

  2. כדי לחסום מפתחות SSH של פרויקט:

    1. בתפריט הניווט, לוחצים על אבטחה.

    2. מרחיבים את הקטע Manage access.

    3. כדי להשבית את OS Login, מבטלים את הסימון בתיבה Control VM access through IAM permissions.

    4. מסמנים את תיבת הסימון Block project-wide SSH keys (חסימת מפתחות SSH ברמת הפרויקט).

  3. אופציונלי: מציינים אפשרויות הגדרה אחרות. מידע נוסף מופיע במאמר אפשרויות הגדרה במהלך יצירת מכונה.

  4. כדי ליצור את המכונה ולהפעיל אותה, לוחצים על Create.

gcloud

כדי ליצור מכונה וירטואלית ולחסום את האפשרות לקבל מפתחות SSH ששמורים במטא-נתונים של הפרויקט באמצעות ה-CLI של gcloud, משתמשים בפקודה gcloud compute instances create:

gcloud compute instances create VM_NAME \
    --metadata block-project-ssh-keys=TRUE

מחליפים את VM_NAME בשם של המכונה הווירטואלית החדשה.

REST

כדי ליצור מכונה וירטואלית ולחסום אותה מקבלת מפתחות SSH ששמורים במטא-נתונים של הפרויקט באמצעות Compute Engine, צריך ליצור בקשת POST לשיטה instances.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • ZONE: האזור של המכונה הווירטואלית

בגוף הבקשה, מציינים את שמות המשתמשים ואת מפתחות ה-SSH הציבוריים במאפיין items:

...
{
 "items": [
    {
     "key": "block-project-ssh-keys",
     "value": TRUE
    }
   ]
}
...

חסימת מפתחות SSH של פרויקט ממכונה וירטואלית אחרי יצירת המכונה

אחרי שיוצרים מכונות וירטואליות, אפשר לחסום את מפתחות ה-SSH של הפרויקט במכונות הווירטואליות באמצעות מסוףCloud de Confiance , ‏ ה-CLI של gcloud או Compute Engine API.

המסוף

כדי לחסום מכונות וירטואליות מקבלת חיבורים ממפתחות SSH ששמורים במטא-נתונים של הפרויקט באמצעות מסוף Cloud de Confiance , מבצעים את הפעולות הבאות:

  1. נכנסים לדף VM instances במסוף Cloud de Confiance .

    כניסה לדף VM instances

  2. לוחצים על שם המכונה הווירטואלית שרוצים לחסום את מפתחות ה-SSH של הפרויקט שלה.

  3. לוחצים על Edit.

  4. בקטע SSH Keys (מפתחות SSH), מסמנים את תיבת הסימון Block project-wide SSH keys (חסימת מפתחות SSH ברמת הפרויקט).

  5. כשמסיימים לערוך את הגדרת החיבור למפתחות SSH, לוחצים על שמירה.

gcloud

כדי לחסום את האפשרות של מכונות וירטואליות לקבל חיבורים ממפתחות SSH ששמורים במטא-נתונים של הפרויקט באמצעות ה-CLI של gcloud, מבצעים את הפעולות הבאות:

מריצים את הפקודה gcloud compute instances add-metadata:

gcloud compute instances add-metadata VM_NAME --metadata block-project-ssh-keys=TRUE

מחליפים את VM_NAME בשם המכונה הווירטואלית שרוצים לחסום עבורה מפתחות SSH ציבוריים ברמת הפרויקט.

REST

כדי לחסום את האפשרות של מכונות וירטואליות לקבל חיבורים ממפתחות SSH ששמורים במטא-נתונים של פרויקט באמצעות Compute Engine API, צריך לבצע את הפעולות הבאות:

  1. משתמשים ב-method‏ instances.get כדי לאחזר את fingerprint מהמטא-נתונים.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • ZONE: האזור של המכונה הווירטואלית שמוסיפים לה מפתח SSH
    • VM_NAME: המכונה הווירטואלית שאליה מוסיפים מפתח SSH

    התגובה אמורה להיראות כך:

    ...
"fingerprint": "utgYE_XWtE8="
...

  2. משתמשים ב-instances.setMetadata method כדי להגדיר את block-project-ssh-keys ל-TRUE:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setMetadata

{
"items": [
 {
  "key": "block-project-ssh-keys",
  "value": TRUE
 }
]
"fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID הוא מזהה הפרויקט
    • ZONE הוא האזור שבו נמצאת המכונה
    • INSTANCE_NAME היא המכונה שבה רוצים לחסום מפתחות ברמת הפרויקט.
    • FINGERPRINT: הערך של fingerprint מהתגובה לבקשת instances.get.

מה השלב הבא?