Préparez-vous à utiliser le partage AMIs pour Linux - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Préparez-vous à utiliser le partage AMIs pour Linux

Avant d'utiliser une instance partagée AMI pour Linux, suivez les étapes ci-dessous pour vérifier qu'aucune information d'identification préinstallée ne permet à un tiers d'accéder à votre instance de manière indésirable et qu'aucune journalisation à distance préconfigurée ne permet de transmettre des données sensibles à un tiers. Consultez la documentation de la distribution Linux utilisée par le AMI pour obtenir des informations sur l'amélioration de la sécurité du système.

Pour éviter de perdre accidentellement l'accès à votre instance, nous vous recommandons de lancer deux SSH sessions et de laisser la seconde ouverte jusqu'à ce que vous supprimiez les informations d'identification que vous ne reconnaissez pas et que vous confirmiez que vous pouvez toujours vous connecter à votre instanceSSH.

  1. Identifiez et désactivez toutes les SSH clés publiques non autorisées. La seule clé du fichier doit être celle que vous avez utilisée pour lancer leAMI. La commande suivante localise les fichiers authorized_keys :

    [ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;

  2. Désactivez l’authentification basée sur mot de passe pour l’utilisateur racine. Ouvrez le fichier sshd_config et éditez la ligne PermitRootLogin de la façon suivante :

    PermitRootLogin without-password

    L’alternative est de désactiver la possibilité de se connecter à l’instance en tant qu’utilisateur racine :

    PermitRootLogin No

    Redémarrez le service sshd.

  3. Vérifiez si d’autres utilisateurs peuvent se connecter à votre instance. Les utilisateurs disposant de privilèges de superutilisateur sont particulièrement dangereux. Supprimez ou verrouillez le mot de passe de tout compte inconnu.

  4. Vérifiez s’il y a des ports ouverts que vous n’utilisez pas et des services de réseau en cours d’exécution en attente de connexions entrantes.

  5. Pour empêcher la journalisation à distance préconfigurée, vous devez supprimer le fichier de configuration existant et redémarrer le service rsyslog. Par exemple :

    [ec2-user ~]$ sudo rm /etc/rsyslog.conf
[ec2-user ~]$ sudo service rsyslog restart

  6. Vérifiez que toutes les tâches cron sont légitimes.

Si vous découvrez un public AMI qui, selon vous, présente un risque de sécurité, contactez l'équipe AWS de sécurité. Pour plus d’informations, consultez le Centre de sécuritéAWS.