我剛纔安裝在Amazon EC2上一個Fedora Linux系統AMI,從亞馬遜的集合。我打算將它連接到EBS存儲。假設我只做了最基本的步驟,沒有更改密碼,除此之外,現階段沒有做任何額外的工作。措施,確保在Amazon EC2 + EBS
現在,從這一點開始,我應該採取哪些措施來阻止黑客並保護我的實例/ EBS?
我剛纔安裝在Amazon EC2上一個Fedora Linux系統AMI,從亞馬遜的集合。我打算將它連接到EBS存儲。假設我只做了最基本的步驟,沒有更改密碼,除此之外,現階段沒有做任何額外的工作。措施,確保在Amazon EC2 + EBS
現在,從這一點開始,我應該採取哪些措施來阻止黑客並保護我的實例/ EBS?
實際上,與保護其他任何Linux服務器沒有什麼不同。
在某些時候,您需要創建自己的圖像(AMI)。這樣做的原因是,如果您的實例發生故障(這很容易發生,因爲Amazon不保證實例將無限期保持活動狀態),您在現有AMI中所做的更改將會丟失。即使您使用EBS進行數據存儲,每當實例出現故障時,您也需要執行配置操作系統的相同日常任務。您可能還想在某些時段停止並重新啓動您的實例,或者在流量高峯期開始超過其中一個時段。
您可以閱讀documentation中用於創建圖像的一些說明。關於安全性,您需要小心不要暴露您的認證文件和密鑰。如果你沒有做到這一點,那麼破解者可以使用它們來啓動將要收費的新實例。謝天謝地,這個過程非常安全,您只需要注意幾點:
我們在工作中做的是確保服務器只能使用私鑰訪問,而不能使用密碼。我們還禁用了ping,這樣任何人在那裏ping服務器都不太可能找到我們的服務器。此外,我們阻止了22號端口與我們網絡IP之外的其他任何端口,只有少數IT人員可能需要在週末從家中訪問。所有其他非必要端口都被阻止。
如果您有多個EC2實例,我會建議您找到一種方法來確保服務器之間的相互通信是安全的。例如,你不希望服務器B因爲服務器A被入侵而被黑客入侵。可能有阻止從一臺服務器到另一臺服務器的SSH訪問的方法,但我沒有親自做過。
保護EC2實例比內部服務器更具挑戰性的原因是缺少企業防火牆。相反,你完全依靠亞馬遜爲你提供的工具。當我們的服務器是內部的,有些甚至沒有暴露在互聯網上,只能在網絡中訪問,因爲服務器沒有公共IP地址。
就我個人而言,我認爲安全組(每個服務器一個,如果你願意的話),你可以更快地建立虛擬網段,而不是在你的本地DMZ中手動創建VLAN。因此,我不同意「簡單的」外圍防火牆和完全可信的局域網比亞馬遜的方法要好(當然,你也可以分割你自己的網絡,這可能涉及工作時間和與基礎設施團隊的團隊會議: ) – eckes 2011-11-24 04:16:46
您也可以使用EBS卷作爲引導分區。現在丟失一個實例不會導致任何數據丟失。您甚至可以關閉它,並將其恢復到關閉的確切狀態。EBS卷比實例的短暫存儲更可靠,但不如S3持久。幸運的是,您可以將EBS卷的增量快照添加到S3。 – Ben 2011-01-14 20:57:06