Подключение к серийной консоли виртуальной машины по SSH
После включения доступа, вы можете подключиться к серийной консоли для взаимодействия с виртуальной машиной. Перед подключением к серийной консоли внимательно ознакомьтесь с разделом Безопасность.
Безопасность
Важно
Оцените риск включения доступа через серийную консоль, учитывая следующие факторы:
-
ВМ будет доступна для управления из интернета даже в случае отсутствия внешнего IP-адреса.
Получить доступ к серийной консоли ВМ из браузера сможет пользователь, успешно аутентифицированный в консоли управления Яндекс.Облака при наличии должных прав на ВМ. Доступ к серийной консоли ВМ из клиентского приложения SSH (например, Putty) или YC CLI также возможен путем аутентификации через SSH-ключ. В связи с этим необходимо тщательно контролировать SSH-ключ и завершать веб-сессию для снижения рисков ее перехвата.
-
Сессия будет доступна одновременно всем пользователям, имеющим право доступа к серийной консоли.
То есть, действия одного пользователя будут видны другим пользователям, если в это время они смотрят вывод серийной консоли.
-
Незавершенная сессия может быть использована другим пользователем.
Мы рекомендуем включать серийную консоль только в случае крайней необходимости, выдавать такой доступ узкому кругу лиц и использовать стойкие пароли для доступа к ВМ.
Не забывайте отключать доступ после работы с серийной консолью.
Важным моментом при удаленном доступе является защита от MITM-атак. Защититься от MITM-атак можно, используя шифрование между клиентом и сервером.
Установить безопасное подключение можно следующими способами:
-
Вы можете скачивать текущий SHA256 Fingerprint (отпечаток) ключа перед каждым подключением к виртуальной машине.
При первом подключении к виртуальной машине клиент сообщает отпечаток ключа и ожидает решения по установке соединения:
- YES — установить соединение.
- NO — отказаться.
Убедитесь, что отпечаток по ссылке совпадает с отпечатком, полученным от клиента.
-
Вы можете скачивать публичный ключ хоста перед каждым подключением к серийной консоли.
Используйте полученный публичный ключ при подключении к серийной консоли.
Рекомендуемые параметры запуска:
$ ssh -o ControlPath=none -o IdentitiesOnly=yes -o CheckHostIP=no -o StrictHostKeyChecking=yes -o UserKnownHostsFile=./serialssh-knownhosts -p 9600 -i ~/.ssh/<имя закрытого ключа> <ID виртуальной машины>.<имя пользователя>@serialssh.cloud.yandex.netПубличный ключ хоста в будущем может быть изменен.
Чаще сверяйтесь с указанными файлами. Скачивайте данные файлы только по протоколу HTTPS, предварительно убедившись в валидности сертификата сайта https://storage.yandexcloud.net. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.
Подключиться к серийной консоли
Примечание
Работа серийной консоли зависит от настроек используемой операционной системы. Сервис Yandex Compute Cloud обеспечивает канал между пользователем и COM-портом виртуальной машины и не гарантирует стабильность работы консоли со стороны операционной системы.
Для подключения к виртуальной машине необходимо знать ее идентификатор. Как получить идентификатор виртуальной машины читайте в разделе Получить информацию о виртуальной машине.
Пример команды подключения:
$ ssh -t -p 9600 -o IdentitiesOnly=yes -i ~/.ssh/<имя закрытого ключа> <ID виртуальной машины>.<имя пользователя>@serialssh.cloud.yandex.net
Пример для пользователя yc-user и виртуальной машины с идентификатором fhm0b28lgfp4tkoa3jl6:
$ ssh -t -p 9600 -o IdentitiesOnly=yes -i ~/.ssh/id_rsa fhm0b28lgfp4tkoa3jl6.yc-user@serialssh.cloud.yandex.net
Пользователь yc-user создается автоматически при создании виртуальной машины. Подробнее читайте в разделе Создать виртуальную машину из публичного образа Linux.
Решение проблем
- Если после подключения к серийной консоли на экране ничего не отображается:
- Нажмите на клавиатуре клавишу
Enter. - Перезапустите виртуальную машину (для виртуальных машин, созданных до 22 февраля).
- Нажмите на клавиатуре клавишу
- Если система запрашивает данные пользователя для доступа на виртуальную машину, укажите имя пользователя (логин) и пароль.
- Если при подключении возникает ошибка
Warning: remote host identification has changed!, выполните командуssh-keygen -R <IP виртуальной машины>.
Отключиться от серийной консоли
Чтобы отключиться от серийной консоли:
- Нажмите на клавиатуре клавишу
Enter. - Введите последовательно символы
~..