Безопасный экземпляр EC2 от регистрации без файла.pem
Я вижу здесь и здесь (в разделе " Подключение к вашему экземпляру Linux, если вы потеряете свой закрытый ключ") способы доступа к экземпляру EC2 без файла.pem, который был создан при создании экземпляра.
Я хотел бы защитить свой EC2, чтобы НЕТ-ОДИН без файла.pem (который у меня есть на моем компьютере) мог получить к нему доступ.
Кстати, у меня все еще есть в ec2 пары экземпляров (общедоступные, отпечатки пальцев)
Как мне это сделать?
2 ответа
Вы не пришли и не сказали это сразу, но вы предоставили доступ к консоли AWS кому-то, кому вы не доверяете. Это проблема, которую вам нужно решить. То, что вы сделали, эквивалентно предоставлению кому-то физического доступа к вашему серверу. Как только вы это сделаете, все ставки сняты. Игра окончена.
Итак, первое, что вам нужно сделать, это отозвать доступ этого человека к вашей учетной записи AWS. После того, как вы это сделаете, все, что вам нужно сделать, это защитить свой закрытый ключ (который уже звучит так, как будто вы это делаете), и вероятность того, что ваши серверы будут скомпрометированы через SSH, практически равна нулю.
У вас есть несколько вариантов управления доступом. Используйте как можно больше таких подходов.
- Используйте экземпляр магазина с поддержкой EC2.
- Настройте MFA на вашей консоли AWS.
- Настройте группы безопасности на вашем компьютере EC2.
- Добавьте парольную фразу в свой закрытый ключ SSH.
- Отключить аутентификацию пароля к SSH.
- Отключить root-вход в SSH.
- Аудит всех учетных записей пользователей для открытых ключей SSH.
Если вы выполните все вышеперечисленные шаги, вы предотвратите обходной путь, описанный выше в вашем вопросе. Подход, изложенный в моем ответе, можно считать "глубокоэшелонированной защитой", что означает решение проблемы в несколько слоев. Таким образом, даже если на одном уровне есть компромисс или ошибка, другие будут препятствовать доступу.