使用ECDSA验证Amazon AWS EC2服务器的SSH指纹？

Amazon EC2控制台现在有一个基于web的终端（可以保证安全连接）。在“实例”页面上，转到操作>连接>EC2实例连接>连接。在终端中，使用ssh-keygen命令来显示任意数量的主机密钥算法的指纹。以下示例显示了Ed25519 hostkey的SHA-256和MD5指纹：

sudo ssh-keygen -l -f /etc/ssh/ssh_host_ed25519_key
sudo ssh-keygen -l -f /etc/ssh/ssh_host_ed25519_key -E md5

在基于Web的终端介绍之前，之前的回答如下:

正如@joelparkerhenderson的回答所述，您可以从服务器的初始启动日志中收集主机密钥指纹，当主机密钥生成时（由cloud-init脚本）：

如果您无法通过此方式收集密钥，可以通过从私有Amazon网络内的另一个受信任的实例连接到目标实例来获取它们，从而使自己免受中间人攻击。

在信任实例（您已知道指纹的实例）的终端上，您可以使用以下命令来收集指纹（172.33.31.199是私有IP）：

$ ssh-keyscan 172.33.31.199 > ec2key
$ ssh-keygen -l -f ec2key
256 SHA256:oZHeiMEPLKetRgd3M5Itgwaqr2zJJH93EvSdx5UoHbQ <ip> (ED25519)
2048 SHA256:8zg105EUFFrPFpVzdfTGsgXnxuSpTiQd85k0uNapUio <ip> (RSA)
256 SHA256:L7UXLw0djE5B9W7ZhvrkYVSTZyi1MEQ2dBaRtpkkUGY <ip> (ECDSA)

如果你没有其他实例的指纹信息，可以创建一个新的临时实例，仅用于收集密钥。首先使用新的临时实例的起始启动日志查找密钥。从公共网络连接到临时实例，然后通过私有的亚马逊网络连接到目标实例，以收集其密钥。完成之后，可以放弃临时实例。

我已经准备好了 WinSCP连接到EC2实例的安全指南。

以下是我在创建EC2系统期间使用的两个解决方案。

解决方案1：使用Amazon EC2仪表板

• 进入https://console.aws.amazon.com
• 点击“EC2”链接。
• 在左侧栏中选择“实例”
• 选择您想要的实例名称
• 点击选择按钮“操作”，并选择“获取系统日志”(又名“控制台输出”)
• 在控制台输出中，您应该看到正在生成密钥

解决方案2：使用AWS EC2命令行

您可以使用aws命令或ec2-get-console-output命令。这两个命令都可以从Amazon下载。

要使用您的EC2私有密钥pem文件、证书pem文件、区域和实例：

ec2-get-console-output \
  --private-key pk-ABCDEF1234567890.pem \
  --cert cert-ABCDEF1234567890.pem \
  --region us-east-1c \
  i-e706689a   

输出结果会像这样显示ssh主机密钥指纹：

ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
ec2: 1024 e0:79:1e:ba:2e:3c:71:87:2c:f5:62:2b:0d:1b:6d:7b  root@ip-10-243-118-182 (DSA)
ec2: 256 31:66:15:d2:19:41:2b:09:8a:8f:9f:bd:de:c6:ff:07  root@ip-10-243-118-182 (ECDSA)
ec2: 2048 ce:ec:3b:d3:34:3f:f3:45:76:81:9e:76:7a:d9:f5:e8  root@ip-10-243-118-182 (RSA)
ec2: -----END SSH HOST KEY FINGERPRINTS-----

aws 工具的工作方式类似。

注意：这些解决方案仅在创建时或在您可以获取控制台日志时才适用。对于任何时间都能使用的更广泛的解决方案，请参见 Martin 的答案。