अमेज़ॅन ईसी 2 + ईबीएस

Question

को सुरक्षित करने के लिए कदम मैंने अमेज़ॅन संग्रह से अमेज़ॅन ईसी 2 पर फेडोरा लिनक्स एएमआई स्थापित किया है। मैं इसे ईबीएस स्टोरेज से कनेक्ट करने की योजना बना रहा हूं। मान लीजिए मैंने सबसे बुनियादी कदमों से कुछ भी नहीं किया है, कोई पासवर्ड नहीं बदला है, उपरोक्त के अलावा इस चरण में कुछ भी अतिरिक्त नहीं किया गया है।

अब, इस बिंदु से, हैकर को रोकने और मेरे उदाहरण/ईबीएस को सुरक्षित करने के लिए मुझे क्या कदम उठाने चाहिए?

Answer 1

असल में किसी अन्य लिनक्स सर्वर को सुरक्षित करने से कुछ भी अलग नहीं है।

Answer 2

किसी बिंदु पर आपको अपनी खुद की छवि (एएमआई) बनाने की आवश्यकता है। ऐसा करने का कारण यह है कि यदि आप अपना उदाहरण नीचे जाते हैं तो जो परिवर्तन आप मौजूदा एएमआई में करेंगे, वह आसानी से हो सकता है (जो आसानी से हो सकता है क्योंकि अमेज़ॅन गारंटी नहीं देता है कि एक उदाहरण अनिश्चित काल तक सक्रिय रहेगा)। यहां तक ​​कि यदि आप डेटा स्टोरेज के लिए ईबीएस का उपयोग करते हैं, तो आपको हर बार इंस्टेंस डाउन होने पर ओएस को कॉन्फ़िगर करने वाले समान सांसारिक कार्य करने होंगे। आप कुछ अवधि में अपने उदाहरण को रोकना और फिर से शुरू करना भी चाहते हैं या चरम यातायात के मामले में उनमें से एक से अधिक शुरू करना चाहते हैं।

आप documentation में अपनी छवि बनाने के लिए कुछ निर्देश पढ़ सकते हैं। सुरक्षा के बारे में आपको सावधान रहना होगा कि आपकी प्रमाणन फाइलों और चाबियों का पर्दाफाश न करें। यदि आप ऐसा करने में असफल होते हैं, तो एक क्रैकर उन नए उदाहरणों को शुरू करने के लिए उपयोग कर सकता है जिनके लिए शुल्क लिया जाएगा। शुक्र है कि प्रक्रिया बहुत सुरक्षित है और आपको केवल कुछ बिंदुओं पर ध्यान देना चाहिए:

• आपके द्वारा भरोसा की गई छवि से प्रारंभ करें। उपयोगकर्ताओं को हर किसी के द्वारा उपयोग की जाने वाली सार्वजनिक छवियां बनाने की अनुमति है और वे या तो गलती से या उद्देश्य से उन लोगों में सुरक्षा छेद छोड़ चुके हैं जो किसी को आपके पहचानकर्ता चुरा लेने की अनुमति दे सकते हैं। एक आधिकारिक अमेज़ॅन एएमआई से शुरू करना, भले ही इसमें आपकी कुछ विशेषताओं की कमी हो, हमेशा एक बुद्धिमान समाधान है।
• कोई छवि बनाने की प्रक्रिया में, आपको अपने प्रमाणपत्रों को चल रहे उदाहरण में अपलोड करने की आवश्यकता होगी। उन्हें उस स्थान पर अपलोड करें जो छवि (/ mnt या/tmp) में बंडल नहीं है। उन्हें छवि में छोड़ना असुरक्षित है, क्योंकि आपको भविष्य में अपनी छवि साझा करने की आवश्यकता हो सकती है। यहां तक ​​कि यदि आप ऐसा करने की योजना बना रहे हैं, तो भी एक क्रैकर आपके चल रहे इंस्टेंस में पहुंच प्राप्त करने और अपने क्रेडेंशियल चुरा लेने के लिए आपके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर (ओएस, वेब सर्वर, फ्रेमवर्क) में सुरक्षा गलती का फायदा उठा सकता है।
• यदि आप सार्वजनिक छवि बनाने की योजना बना रहे हैं, तो सुनिश्चित करें कि आप अपनी चाबियों का कोई निशान नहीं ढूंढें/इसमें पहचानें (उदाहरण के लिए खोल के कमांड इतिहास में)।

Answer 3

हमने काम पर क्या किया है, हमने यह सुनिश्चित किया है कि सर्वर केवल एक निजी कुंजी, कोई पासवर्ड नहीं पहुंचा जा सके। हमने पिंग को भी अक्षम कर दिया ताकि सर्वर के लिए पिंग करने वाले किसी भी व्यक्ति को हमारे पास कम संभावना हो। इसके अतिरिक्त, हमने अपने नेटवर्क आईपी के बाहर किसी भी चीज़ से पोर्ट 22 को अवरुद्ध कर दिया है, कुछ आईटी कर्मियों के अपवाद को समझने के लिए जिन्हें सप्ताहांत पर घर से पहुंच की आवश्यकता हो सकती है। अन्य सभी गैर-आवश्यक बंदरगाहों को अवरुद्ध कर दिया गया था।

यदि आपके पास एक से अधिक ईसी 2 उदाहरण हैं, तो मैं यह सुनिश्चित करने के लिए एक तरीका ढूंढने की सलाह दूंगा कि सर्वर के बीच अंतरण सुरक्षित है। उदाहरण के लिए, आप नहीं चाहते हैं कि सर्वर बी को भी हैक किया जाए क्योंकि सर्वर ए से समझौता किया गया था। एक सर्वर से दूसरे सर्वर पर एसएसएच एक्सेस को अवरुद्ध करने का एक तरीका हो सकता है, लेकिन मैंने व्यक्तिगत रूप से यह नहीं किया है।

एक ईसी 2 इंस्टेंस को इन-हाउस सर्वर की तुलना में अधिक चुनौतीपूर्ण बनाता है जो आपके कॉर्पोरेट फ़ायरवॉल की कमी है। इसके बजाए, आप पूरी तरह से अमेज़ॅन प्रदान करने वाले टूल पर भरोसा करते हैं। जब हमारे सर्वर घर में थे, तो कुछ इंटरनेट से भी संपर्क नहीं किए गए थे और नेटवर्क के भीतर ही पहुंच योग्य थे क्योंकि सर्वर के पास सार्वजनिक आईपी पता नहीं था।