在您的 Amazon Linux 執行個體上管理使用者帳戶
每個 Linux 執行個體都會使用預設 Linux 系統使用者帳戶來啟動。預設使用者名稱會取決於您啟動執行個體時指定的 AMI。
針對 Amazon Linux 2 或 Amazon Linux AMI,使用者名稱為 ec2-user。
針對 CentOS AMI,使用者名稱為 centos。
針對 Debian AMI,使用者名稱為 admin。
針對 Fedora AMI,使用者名稱為 ec2-user 或 fedora。
針對 RHEL AMI,使用者名稱為 ec2-user 或 root。
針對 SUSE AMI,使用者名稱為 ec2-user 或 root。
針對 Ubuntu AMI,使用者名稱為 ubuntu。
萬一 ec2-user 和 root 無法使用,請洽詢 AMI 供應商。
注意
Linux 系統使用者不應和 AWS Identity and Access Management (IAM) 使用者混淆。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者和群組。
考量
許多應用程式都適合使用預設使用者帳戶。不過,您可以選擇新增使用者帳戶,讓個人能有自己的檔案和工作空間。此外,為新使用者建立使用者帳戶也會比授予多名 (可能缺乏經驗)
預設使用者帳戶的存取權更安全,因為若預設使用者帳戶使用不當,可能會對系統造成重大傷害。如需詳細資訊,請參閱保護 EC2 執行個體的要訣。
若要讓使用者能夠使用 Linux 系統使用者帳戶,透過 SSH 存取您的 EC2 執行個體,您必須與使用者共用 SSH 金鑰。或者,您可以使用 EC2 Instance
Connect 為使用者提供存取權限,如此就不需要共用和管理 SSH 金鑰。如需詳細資訊,請參閱 使用 EC2 Instance Connect 連線至您的 Linux 執行個體。
建立使用者帳戶
首先建立使用者帳戶,然後新增允許使用者連線至並登入執行個體的 SSH 公有金鑰。
建立使用者帳戶
建立新的金鑰對。您必須將 .pem 檔案提供給您要為其建立使用者帳戶的使用者。他們必須使用此檔案來連接到執行個體。
從您在上一個步驟中建立的金鑰對中,擷取公開金鑰。
$ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem
此命令會傳回公有金鑰,如下列範例所示。
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
連線到執行個體。
使用 adduser 命令建立使用者帳戶並將其新增到系統 (在 /etc/passwd 檔案中具有項目)。此命令也會為帳戶建立群組和主目錄。在此範例中,使用者帳戶已命名為 newuser。
Amazon Linux 和 Amazon Linux 2
[ec2-user ~]$sudo adduser newuser
Ubuntu
包含 --disabled-password 參數,即可建立不需要密碼的使用者帳戶。
[ubuntu ~]$sudo adduser newuser --disabled-password
切換到新的帳戶,以便您建立的目錄和檔案可擁有適當的所有權。
[ec2-user ~]$sudo su - newuser
此提示會從 ec2-user 變更為 newuser,表示您已將 shell 工作階段切換至新的帳戶。
將 SSH 公有金鑰新增到使用者帳戶。首先在使用者的主目錄中建立 SSH 金鑰檔案的目錄、然後建立金鑰檔案,最後將公有金鑰貼到金鑰檔案中,如下列子步驟中所示。
在 .ssh 主目錄中建立 newuser 目錄,然後將其檔案許可變更為 700 (只有擁有者能讀取、寫入和開啟目錄)。
[newuser ~]$mkdir .ssh
[newuser ~]$chmod 700 .ssh
重要
若沒有這些明確的檔案許可,使用者將無法登入。
在 .ssh 目錄中建立名為 authorized_keys 的檔案,然後將其檔案許可變更為 600 (只有擁有者能讀取和寫入檔案)。
[newuser ~]$touch .ssh/authorized_keys
[newuser ~]$chmod 600 .ssh/authorized_keys
重要
若沒有這些明確的檔案許可,使用者將無法登入。
使用您喜愛的文字編輯器 (例如 vim 或 nano) 來開啟 authorized_keys 檔案。
[newuser ~]$nano .ssh/authorized_keys
將您在步驟 2 中擷取到的公開金鑰貼到檔案中,並儲存這些變更。
重要
請確定將此公開金鑰貼成連續一行。此公開金鑰絕對不可分成多行。
使用者現在應該能使用對應到您為 authorized_keys 檔案新增之公有金鑰的私有金鑰,在您執行個體上登入 newuser 帳戶。如需連接至 Linux 執行個體之不同方法的詳細資訊,請參閱連接至您的 Linux 執行個體。
移除使用者帳戶
若不再需要使用者帳戶,您可以移除該帳戶,使該帳戶無法再被使用。
使用 userdel 命令來移除系統的使用者帳戶。當指定 -r 參數時,也會同時刪除使用者的主目錄和郵件多工緩衝處理。若要保留使用者的主目錄和郵件多工緩衝處理,請忽略 -r 參數。
[ec2-user ~]$sudo userdel -r olduser
415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
