措施，確保在Amazon EC2 + EBS

Question

我剛纔安裝在Amazon EC2上一個Fedora Linux系統AMI，從亞馬遜的集合。我打算將它連接到EBS存儲。假設我只做了最基本的步驟，沒有更改密碼，除此之外，現階段沒有做任何額外的工作。

現在，從這一點開始，我應該採取哪些措施來阻止黑客並保護我的實例/ EBS？

Answer 1

實際上，與保護其他任何Linux服務器沒有什麼不同。

Answer 2

在某些時候，您需要創建自己的圖像（AMI）。這樣做的原因是，如果您的實例發生故障（這很容易發生，因爲Amazon不保證實例將無限期保持活動狀態），您在現有AMI中所做的更改將會丟失。即使您使用EBS進行數據存儲，每當實例出現故障時，您也需要執行配置操作系統的相同日常任務。您可能還想在某些時段停止並重新啓動您的實例，或者在流量高峯期開始超過其中一個時段。

您可以閱讀documentation中用於創建圖像的一些說明。關於安全性，您需要小心不要暴露您的認證文件和密鑰。如果你沒有做到這一點，那麼破解者可以使用它們來啓動將要收費的新實例。謝天謝地，這個過程非常安全，您只需要注意幾點：

• 從您信任的圖像開始。用戶被允許創建公共圖片供所有人使用，他們可能會錯誤地或者目的地在他們身上留下一個安全漏洞，這可能會允許某人竊取您的標識符。從官方的Amazon AMI開始，即使它缺乏您需要的某些功能，始終是一個明智的解決方案。
• 在創建映像的過程中，您需要在運行實例中上傳證書。將它們上傳到未捆綁在映像中的位置（/ mnt或/ tmp）。將它們留在圖像中是不安全的，因爲您將來可能需要分享您的圖像。即使您從未打算這麼做，黑客可能會利用您使用的軟件（操作系統，Web服務器，框架）中的安全錯誤來訪問正在運行的實例並竊取您的憑證。
• 如果您打算創建一個公共圖像，請確保不留下您的密鑰/標識的痕跡（例如，在shell的命令歷史記錄中）。

Answer 3

我們在工作中做的是確保服務器只能使用私鑰訪問，而不能使用密碼。我們還禁用了ping，這樣任何人在那裏ping服務器都不太可能找到我們的服務器。此外，我們阻止了22號端口與我們網絡IP之外的其他任何端口，只有少數IT人員可能需要在週末從家中訪問。所有其他非必要端口都被阻止。

如果您有多個EC2實例，我會建議您找到一種方法來確保服務器之間的相互通信是安全的。例如，你不希望服務器B因爲服務器A被入侵而被黑客入侵。可能有阻止從一臺服務器到另一臺服務器的SSH訪問的方法，但我沒有親自做過。

保護EC2實例比內部服務器更具挑戰性的原因是缺少企業防火牆。相反，你完全依靠亞馬遜爲你提供的工具。當我們的服務器是內部的，有些甚至沒有暴露在互聯網上，只能在網絡中訪問，因爲服務器沒有公共IP地址。