本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
準備使用 Linux AMIs 的共用功能
在您使用 Linux 的共AMI用資料之前,請執行下列步驟,確認沒有預先安裝的認證可允許第三方不必要的存取您的執行個體,也沒有預先設定的遠端記錄可以傳輸敏感資料給第三方。如需有關改善系統安全性的資訊,請查閱所使用之 Linux 發行版本的文件。AMI
為了確保您不會意外失去對執行個體的存取權,建議您啟動兩個工SSH作階段,並保持第二個工作階段開啟,直到您移除了無法識別的認證,並確認您仍然可以使用登入執行個體為止SSH。
-
識別並停用任何未經授權的公開SSH金鑰。檔案中唯一的金鑰應該是您用來啟動AMI. 以下命令可找出
authorized_keys
檔案:[ec2-user ~]$
sudo find / -name "authorized_keys" -print -exec cat {} \;
-
停用根使用者的密碼型態身分驗證。開啟
sshd_config
檔案並編輯PermitRootLogin
行,如下所示:PermitRootLogin without-password
或者,您可停用公用程式,以根使用者身分登入執行個體:
PermitRootLogin No
重新啟動 sshd 服務。
-
檢查是否有任何其他使用者能夠登入您的執行個體。具有超級使用者權限的使用者特別危險。移除或鎖定任何未知帳戶的密碼。
-
檢查未使用且正在執行網路服務偵聽是否有傳入連線的開放中連接埠。
-
若要避免預先設定的遠端登入,您應刪除現有的組態檔案,然後重新啟動
rsyslog
服務。例如:[ec2-user ~]$
sudo rm /etc/rsyslog.conf
[ec2-user ~]$
sudo service rsyslog restart
-
確認所有的 cron 任務均為合法。
如果您發現自己覺得AMI存在安全性風險的公眾,請聯絡 AWS 安全性團隊。如需詳細資訊,請參閱 AWS 安全中心