Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Preparati a usare shared AMIs per Linux
Prima di utilizzare una piattaforma condivisa AMI per Linux, procedi nel seguente modo per verificare che non esistano credenziali preinstallate che consentano l'accesso indesiderato all'istanza da parte di terzi e nessuna registrazione remota preconfigurata che potrebbe trasmettere dati sensibili a terzi. Consulta la documentazione della distribuzione Linux utilizzata da AMI per informazioni su come migliorare la sicurezza del sistema.
Per evitare di perdere accidentalmente l'accesso alla tua istanza, ti consigliamo di avviare due SSH sessioni e di tenere aperta la seconda fino a quando non avrai rimosso le credenziali che non riconosci e non avrai confermato che puoi ancora utilizzare per accedere all'istanza. SSH
-
Identifica e disabilita eventuali chiavi pubbliche non autorizzate. SSH L'unica chiave del file dovrebbe essere la chiave che hai usato per avviare ilAMI. Il comando seguente consente di individuare i file
authorized_keys
:[ec2-user ~]$
sudo find / -name "authorized_keys" -print -exec cat {} \;
-
Disabilitare l'autenticazione basata su password per l'utente root. Aprire il file
sshd_config
e modificare la rigaPermitRootLogin
come segue:PermitRootLogin without-password
In alternativa, è possibile disabilitare la funzione di accesso all'istanza come utente root:
PermitRootLogin No
Riavviare il servizio sshd.
-
Controllare la presenza di altri utenti in grado di accedere all'istanza. Gli utenti con privilegi superuser sono particolarmente pericolosi. Rimuovere o bloccare la password degli account sconosciuti.
-
Verificare la presenza di porte aperte inutilizzate e con in esecuzione servizi di rete in attesa di connessioni in entrata.
-
Per impedire la registrazione remota preconfigurata, elimina il file di configurazione esistente e riavviare il servizio
rsyslog
. Per esempio:[ec2-user ~]$
sudo rm /etc/rsyslog.conf
[ec2-user ~]$
sudo service rsyslog restart
-
Verifica tutto cron i lavori sono legittimi.
Se scopri un pubblico AMI che ritieni rappresenti un rischio per la sicurezza, contatta il team addetto alla AWS sicurezza. Per ulteriori informazioni, visita il Centro di Sicurezza AWS