2

LinuxEC2インスタンスを起動しようとしています。

私はLinuxをよく理解していますが、Linux OSをセキュリティで保護/強化する能力は、間違いなく私を接続に対して脆弱なままにします。例:私よりもLinuxのセキュリティについてよく知っている人がいます。

Linux、Apache、PHP5を実行したいと思っています。

linux / apache / phpまたはこれに類似したものを実行して事前に強化された推奨AmazonAMIはありますか?

アドバイスをいただければ幸いです。

ありがとうございました

4

4 に答える 4

3

これに関する古い記事があります(私は読んでいませんが、おそらく始めるのに良い場所です):http: //media.amazonwebservices.com/Whitepaper_Security_Best_Practices_2010.pdf

頭のてっぺんからいくつかのベストプラクティスをお勧めします

1)VPCに移動し、インバウンドアクセスとアウトバウンドアクセスを制御します。

2a)SSHでパスワード認証を無効にし、既知のIPからのSSHのみを許可する

2b)IP経由のSSHアクセスを制限できない場合(ローミングなどのため)、パスワード認証を許可し、Google認証システムを使用して多要素認証を提供します。

3)すべての公開Webサイトの前にエラスティックロードバランサーを配置し、ELB以外のサーバーへのアクセスを無効にします

4)攻撃の場合にログを別の場所に保持する中央ログサーバーを作成します。

5)3か月ごとにすべてのシステムパスワードを変更します

6)IDSを使用します。簡単に開始できる場所として、tripwireをお勧めします。

7)定期的に更新を確認します(すべてのサーバーでこれを行うためにNagios w / NRPEのような監視システムを採用できます)セキュリティの専門家でない場合は、おそらく1日中バグトラックを読む時間がないので、 OSが提供するサービス(CentOS / RHEL it's yum)

8)定期的に(四半期ごとに)外部の脆弱性評価を行います。nessusを自分で学習して使用するか(企業以外で使用する場合)、Qualysなどのサードパーティを使用することができます。

懸念があり疑わしい場合は、セキュリティ専門家に監査を依頼してください。これは法外な費用がかかるべきではなく、あなたにいくつかの素晴らしい洞察を与えることができます。

于 2012-09-15T03:48:08.187 に答える
1

あなたは2つのことを理解する必要があります:

  • 厳格なセキュリティは、攻撃者にとってもあなたにとっても人生を困難にします...
  • セキュリティは継続的なタスクです。
    特定の時点でサーバーを安全に保つことは、将来について何も言いません。
    毎日公開される新しいエクスプロイトとパッチ、および多くの「開発」行為により、セキュリティが不安定になります。

解決? Linux/セキュリティなどを管理せずに特定のPHPリソースを取得しているhttps://pagodabox.com/
のようなサービスを検討するかもしれません...

編集:
共感するためだけに...サイトの継続的なセキュリティを担当する本番システムを
実行している場合は、安全なインスタンスで起動するよりもはるかに多くのことを実行する必要があります。 そうしないと、時間が経つにつれて(そしてより多くの人がそれについて学ぶ につれて)あなたのサイトの安全性が大幅に低下します

  • あなたのサイトを定期的にチェックし、必要なパッチなどを適用するセキュリティの専門家(社内またはフリーランス)を入手してください。
  • あなたのためにセキュリティの側面を管理するホスティングサービスを入手してください。
    私はそのようなサービスの1つを指摘しました。このサービスでは、PHPコードを挿入でき、他のすべてを処理してくれます。
    定期的に実際のセキュリティチェック/修正を取得する機能がないすべての本番サイトについて、このタイプのサービスをチェックします

セキュリティは非常に複雑な分野です...リスクを過小評価しないでください...

于 2012-09-14T05:05:17.820 に答える
1

実際、何かが起こった場合は、事前に構成されたAMIからいつでもサーバーを再起動できます。たとえば、AutoScalingを使用すると非常に簡単に実行できます。パスワードなしでSSHを使用します。それに応じてセキュリティグループを調整します。EC2インスタンスの保護に関する優れた記事があります。

于 2012-09-14T05:26:47.437 に答える
0

Amazonを使用する上で私が最も気に入っていることの1つは、攻撃対象領域をいかに迅速かつ簡単に制限できるかということです。ここに優先リストを作成しました。終わり近くにそれは少し進歩します。

  • VPCで起動
  • WebサーバーをロードバランサーELBまたはALBの背後に配置します(SSLもそこで終了します)
  • ロードバランサーからのWebトラフィックのみを許可する
  • 制限付きセキュリティグループを作成します。ホストに許可されるのは、ロードバランサーからの着信トラフィックとIP(またはISPが静的アドレスを提供していない場合はdhcpサブネット)からのsshのみです。
  • 自動セキュリティ更新を有効にする
    • yum-cron(amazon linux)
    • または無人アップグレード(ubuntu)
  • sshを強化する
    • rootログインとデフォルトのAmazonアカウントを禁止する
    • sshキーを優先してパスワードログインを禁止する
  • 2faと長いパスワードを使用してawsrootアカウントをロックダウンします。
  • 日常業務にIAMクレデンシャルを作成して使用する
  • データレイヤーがある場合は、暗号化されたRDSをデプロイし、プライベートサブネットに配置します
  • IAMクレデンシャルを使用したRDSへの接続を検討します(confファイルに保存されたdbパスワードはもうありません)
  • 2fasshのyubikeyをチェックしてください。

高度:大規模またはより重要な展開の場合、ThreatStackなどの使用を検討できます。AWSの誤った設定(世界中に公開されている顧客データを含むs3バケット?)、ホスト上のパッケージのセキュリティの脆弱性について警告することができます。また、侵害の兆候を警告し、セキュリティインシデントの調査に役立つコマンドログを保持します。

于 2017-09-16T01:06:16.050 に答える