如何保证自己所用的AMI是安全的？

2011-04-25 06:12:59 +08:00

iwinux

我用了一个 Arch Linux 的 community ami，登录进去之后我做了以下操作：

1. 删掉了默认的 arch 用户
2. copy -r /root/.ssh /home/myusername/
3. rm -rf /root/.ssh

但我总觉得有点不放心啊，还有没有其他地方需要检查的？

4950 次点击

所在节点

Amazon Web Services

9 条回复

saharabear

2011-07-05 22:24:18 +08:00

我大多用官方的，没考虑过其他的安全性问题。

座等方案

qsun

2011-07-13 15:51:46 +08:00

不信任 community 的 ami 就别用，没办法的。要是存心搞后门很难防范的。

iwinux

2011-07-14 10:31:06 +08:00

@qsun @saharabear 我的解决方案是只用 Ubuntu 官网的 ami = =

anuxs

2011-07-26 21:30:46 +08:00

大哥们啊，没有哪个ssh必须的key，普通人能黑进去吗？

anuxs

2011-07-26 21:32:55 +08:00

除非你把private key也奉送给别人。相当于把门钥匙给别人了，怎么都不安全了。
所以，ec2说明讲的很清楚，一定不要把key泄漏给别人。
除此之外，我想到还有什么人能够ssh进去了。你做的那些都是多余的。

iwinux

2011-07-27 12:18:33 +08:00

@anuxs 呵呵，你装个非官方的AMI之后看看你的.ssh/目录

anuxs

2011-07-30 15:21:30 +08:00

@iwinux 我用的就是bitnami的AMI,没有/root/.ssh 目录。也没有~/.ssh目录。告诉我，我再找找。

reus

2011-07-30 15:39:32 +08:00

要开后门又不是只有ssh pubkey一种方法…
想保证安全就要么用官方的要么自己做

anuxs

2011-07-31 16:02:50 +08:00

我用的bitnami的官方的，还是比较有信誉的。当然，我还是再三检查了下：
1、默认用户下的.ssh/authorized_keys确实是我自己生成的；
2、/root/.ssh/authorized_keys 是空的，我把.ssh目录彻底删除了。
3、检查了passwd文件，基本没有奇怪的用户了。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/12082

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.