亚马逊社区AMI +安全

Question

我正在寻找启动Linux EC2实例。

虽然我非常了解Linux，但我的安全/强化Linux操作系统的能力无疑会让我容易受到影响。例如：还有其他人比我更了解Linux安全性。

我希望运行Linux，Apache＆amp; PHP5。

是否有任何推荐的Amazon AMI可以预先运行linux / apache / php或类似的内容？

非常感谢任何建议。

三江源

Answer 1

你必须理解两件事：

• 严密的安全让攻击者和你的生活变得艰难......
• 安全是一项持续的任务 让您的服务器在特定时间点保持安全，不要对未来发表任何意见 每天发布的新漏洞和补丁，以及许多开发和＃34;行为导致安全性不稳定。

<强>解决方案吗
您可以考虑https://pagodabox.com/之类的服务 在哪里获得特定的PHP资源而无需管理Linux / Security等等......

---

编辑：
只是为了同情......
运行生产系统，您负责以确保网站的正常运行安全性，强制您执行远远超过启动安全实例！
否则，随着时间的推移，您的网站将变得不那么安全（并且会有更多人了解它） 正如我所看到的（对于真实的制作网站），您有2个选项：

• 让安全专家（内部或自由职业者）定期检查您的网站，并将应用所需的补丁等。
• 获取将为您管理安全性方面的托管服务 我指出了一个这样的服务，你可以把你的PHP代码放进去，他们将为你处理其他一切 我会为每个没有能力定期进行安全检查/修复的生产网站检查此类服务

安全是一个非常复杂的领域......不要低估风险......

Answer 2

实际上，如果发生了某些事情，您可以随时从预先配置的AMI重新启动服务器。 例如，Auto Scaling可以很容易地完成。使用SSH Without a Password。相应地调整Security Groups。这是关于Securing Your EC2 Instance的好文章。

Answer 3

我最喜欢使用亚马逊的一个方面是我可以快速轻松地限制攻击面。我在这里列出了优先顺序。接近结束时，它会有所提升。

• 在VPC中启动
• 将您的网络服务器放在负载均衡器ELB或ALB后面（也在那里终止SSL）
• 仅允许来自负载均衡器的网络流量
• 创建限制性安全组。允许进入主机的唯一内容应该是来自负载均衡器的传入流量和来自IP的ssh（或者如果您的ISP不提供静态地址，则为dhcp子网）
• 启用自动安全更新
  • yum-cron（amazon linux）
  • 或无人值守升级（ubuntu）
• 哈登ssh
  • 禁止root登录和默认的亚马逊帐户
  • 禁止密码登录以支持ssh密钥
• 使用2fa和长密码锁定您的aws root帐户。
• 为日常运营创建和使用IAM凭证
• 如果您有数据层部署加密的RDS并将其置于私有子网
• 探索使用IAM凭据连接到RDS（不再在conf文件中保存数据库密码）
• 查看yubikey获取2fa ssh。

高级：对于更大或更重要的部署，您可以考虑使用ThreatStack之类的东西。他们可以警告您AWS错误配置（包含向全世界开放的客户数据的s3存储桶？），主机包中的安全漏洞。他们还会发出妥协信号，并保留一个命令日志，这对调查安全事件非常有用。