AWS 上开了一个实例,需要的几个服务已经跑起来了。请教下,安全性方面,怎么配置比较合适?

2018-01-21 19:17:58 +08:00
 elgae
3785 次点击
所在节点    程序员
17 条回复
nicevar
2018-01-21 20:23:57 +08:00
先把最基本的处理了,ssh 默认端口修改、限制 root 用户登录、连接次数、同时登录用户数、超时时间
其他没必要开的端口全屏蔽了,数据库最好不要开启外网访问
管理后台别直接暴露链接
php 之类的注入检测防范一下
fredcc
2018-01-21 20:47:51 +08:00
AWS 有安全相关的 best practice 白皮书。跟 vps 开台机器有很大不同。看你业务规模和学习意愿选吧
precisi0nux
2018-01-21 21:41:41 +08:00
看看怎么配 security group
knightdf
2018-01-21 22:22:03 +08:00
aws 默认不能 root 登录,默认只能用 key 登录,所以你在安全组打开你要的端口就可以了,其他都不需要配置
elgae
2018-01-21 22:58:58 +08:00
@knightdf 看了 AWS 的 Linux 实例用户指南,目前入站规则,开放了 http、https、ssh,来源无限制。出站规则,允许所有。
knightdf
2018-01-21 23:04:06 +08:00
@elgae 只需要关心入站,出站一般都是全部开放
eoo
2018-01-21 23:05:39 +08:00
是免费那一款吗?
elgae
2018-01-21 23:25:24 +08:00
@eoo 免费的,有不同的系统可以选择。用来做 telegram bot 的服务器。
fredcc
2018-01-21 23:38:58 +08:00
看看 aws 的官方文档,其实都有官方建议,从简到繁
https://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenarios.html
opengps
2018-01-22 09:00:59 +08:00
安全组,只开通需要的端口,另外就是远程管理这种端口改掉,不要用默认的。
这两步看似简单,实际很有效果。
剩下的就是让你的程序不要有漏洞了
再剩下的才是高难度的安全防护
lairdnote
2018-01-22 10:16:46 +08:00
waf
likuku
2018-01-22 11:53:26 +08:00
按 aws 官方教程流程来,就已经很安全了。

优先 VPC,再接着所用的实例还有其它资源的授权不要滥给高权限账户身份。

需求高点,可以花点小钱买官方支持服务,可以直接和 aws 专家商讨 /请教各种技术问题 /方案。

有兴趣,欢迎加入 telegram 的 aws chinese user 组 (两岸三地 都有)
romennts
2018-01-22 20:53:22 +08:00
除了楼上 V 友说的之外,还有 IAM 也是很关键的一环。
jisi724
2018-01-23 02:06:37 +08:00
我们在生产环境中比较在乎的是 security group 和 IAM 的配置。
1). 保证不同人员只有自己的需要的权限,root 一般不用。
2). 生产环境里只开放需要的端口,其他的一律屏蔽。比如 RDS 只对 EBS,某个 EC2 或者办公室 IP 开放端口等等。

最后安利一个 Terraform for aws ( https://www.terraform.io/docs/providers/aws/index.html), 代码化管理 AWS 服务,也方便以后进行平台迁移。
elgae
2018-01-25 21:59:21 +08:00
谢谢各位提供的建议,就不一一 @了。

@likuku 拉我进组,telegram 账号 belgae
elgae
2018-01-25 22:01:37 +08:00
@fredcc 你贴的文档不对,不过还是谢谢。
likuku
2018-01-26 00:57:38 +08:00
@elgae 已发送入群链接

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/424722

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX