V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iwinux
V2EX  ›  Amazon Web Services

如何保证自己所用的AMI是安全的?

  •  
  •   iwinux ·
    iwinux · 2011-04-25 06:12:59 +08:00 · 5090 次点击
    这是一个创建于 4997 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我用了一个 Arch Linux 的 community ami,登录进去之后我做了以下操作:

    1. 删掉了默认的 arch 用户
    2. copy -r /root/.ssh /home/myusername/
    3. rm -rf /root/.ssh

    但我总觉得有点不放心啊,还有没有其他地方需要检查的?
    9 条回复    1970-01-01 08:00:00 +08:00
    saharabear
        1
    saharabear  
       2011-07-05 22:24:18 +08:00
    我大多用官方的,没考虑过其他的安全性问题。

    座等方案
    qsun
        2
    qsun  
       2011-07-13 15:51:46 +08:00
    不信任 community 的 ami 就别用,没办法的。要是存心搞后门很难防范的。
    iwinux
        3
    iwinux  
    OP
       2011-07-14 10:31:06 +08:00
    @qsun @saharabear 我的解决方案是只用 Ubuntu 官网的 ami = =
    anuxs
        4
    anuxs  
       2011-07-26 21:30:46 +08:00
    大哥们啊,没有哪个ssh必须的key,普通人能黑进去吗?
    anuxs
        5
    anuxs  
       2011-07-26 21:32:55 +08:00
    除非你把private key也奉送给别人。相当于把门钥匙给别人了,怎么都不安全了。
    所以,ec2说明讲的很清楚,一定不要把key泄漏给别人。
    除此之外,我想到还有什么人能够ssh进去了。你做的那些都是多余的。
    iwinux
        6
    iwinux  
    OP
       2011-07-27 12:18:33 +08:00
    @anuxs 呵呵,你装个非官方的AMI之后看看你的.ssh/目录
    anuxs
        7
    anuxs  
       2011-07-30 15:21:30 +08:00
    @iwinux 我用的就是bitnami的AMI,没有/root/.ssh 目录。也没有~/.ssh目录。告诉我,我再找找。
    reus
        8
    reus  
       2011-07-30 15:39:32 +08:00
    要开后门又不是只有ssh pubkey一种方法…
    想保证安全就要么用官方的要么自己做
    anuxs
        9
    anuxs  
       2011-07-31 16:02:50 +08:00
    我用的bitnami的官方的,还是比较有信誉的。当然,我还是再三检查了下:
    1、默认用户下的.ssh/authorized_keys确实是我自己生成的;
    2、/root/.ssh/authorized_keys 是空的,我把.ssh目录彻底删除了。
    3、检查了passwd文件,基本没有奇怪的用户了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2515 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 02:55 · PVG 10:55 · LAX 18:55 · JFK 21:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.