AWS 上开了一个实例,需要的几个服务已经跑起来了。请教下,安全性方面,怎么配置比较合适? - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要在回答技术问题时复制粘贴 AI 生成的内容
elgae
V2EX    程序员

AWS 上开了一个实例,需要的几个服务已经跑起来了。请教下,安全性方面,怎么配置比较合适?

  •  
  •   elgae 2018-01-21 9:17:58 +08:00 4085 次点击
    这是一个创建于 2826 天前的主题,其中的信息可能已经有所发展或是发生改变。
    17 条回复    2018-01-26 00:57:38 +08:00
    nicevar
        1
    nicevar  
       2018-01-21 20:23:57 +08:00   4
    先把最基本的处理了,ssh 默认端口修改、限制 root 用户登录、连接次数、同时登录用户数、超时时间
    其他没必要开的端口全屏蔽了,数据库最好不要开启外网访问
    管理后台别直接暴露链接
    php 之类的注入检测防范一下
    fredcc
        2
    fredcc  
       2018-01-21 20:47:51 +08:00   1
    AWS 有安全相关的 best practice 白皮书。跟 vps 开台机器有很大不同。看你业务规模和学习意愿选吧
    precisi0nux
        3
    precisi0nux  
       2018-01-21 21:41:41 +08:00 via iPhone
    看看怎么配 security group
    knightdf
        4
    knightdf  
       2018-01-21 22:22:03 +08:00   1
    aws 默认不能 root 登录,默认只能用 key 登录,所以你在安全组打开你要的端口就可以了,其他都不需要配置
    elgae
        5
    elgae  
    OP
       2018-01-21 22:58:58 +08:00
    @knightdf 看了 AWS 的 Linux 实例用户指南,目前入站规则,开放了 http、https、ssh,来源无限制。出站规则,允许所有。
    knightdf
        6
    knightdf  
       2018-01-21 23:04:06 +08:00   1
    @elgae 只需要关心入站,出站一般都是全部开放
    eoo
        7
    eoo  
       2018-01-21 23:05:39 +08:00 via Android
    是免费那一款吗?
    elgae
        8
    elgae  
    OP
       2018-01-21 23:25:24 +08:00
    @eoo 免费的,有不同的系统可以选择。用来做 telegram bot 的服务器。
    fredcc
        9
    fredcc  
       2018-01-21 23:38:58 +08:00
    看看 aws 的官方文档,其实都有官方建议,从简到繁
    https://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenarios.html
    opengps
        10
    opengps  
       2018-01-22 09:00:59 +08:00   1
    安全组,只开通需要的端口,另外就是远程管理这种端口改掉,不要用默认的。
    这两步看似简单,实际很有效果。
    剩下的就是让你的程序不要有漏洞了
    再剩下的才是高难度的安全防护
    lairdnote
        11
    lairdnote  
       2018-01-22 10:16:46 +08:00
    waf
    likuku
        12
    likuku  
       2018-01-22 11:53:26 +08:00
    按 aws 官方教程流程来,就已经很安全了。

    优先 VPC,再接着所用的实例还有其它资源的授权不要滥给高权限账户身份。

    需求高点,可以花点小钱买官方支持服务,可以直接和 aws 专家商讨 /请教各种技术问题 /方案。

    有兴趣,欢迎加入 telegram 的 aws chinese user 组 (两岸三地 都有)
    romennts
        13
    romennts  
       2018-01-22 20:53:22 +08:00   1
    除了楼上 V 友说的之外,还有 IAM 也是很关键的一环。
    jisi724
        14
    jisi724  
       2018-01-23 02:06:37 +08:00   1
    我们在生产环境中比较在乎的是 security group 和 IAM 的配置。
    1). 保证不同人员只有自己的需要的权限,root 一般不用。
    2). 生产环境里只开放需要的端口,其他的一律屏蔽。比如 RDS 只对 EBS,某个 EC2 或者办公室 IP 开放端口等等。

    最后安利一个 Terraform for aws ( https://www.terraform.io/docs/providers/aws/index.html), 代码化管理 AWS 服务,也方便以后进行平台迁移。
    elgae
        15
    elgae  
    OP
       2018-01-25 21:59:21 +08:00
    谢谢各位提供的建议,就不一一 @了。

    @likuku 拉我进组,telegram 账号 belgae
    elgae
        16
    elgae  
    OP
       2018-01-25 22:01:37 +08:00
    @fredcc 你贴的文档不对,不过还是谢谢。
    likuku
        17
    likuku  
       2018-01-26 00:57:38 +08:00
    @elgae 已发送入群链接
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2697 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 28ms UTC 09:41 PVG 17:41 LAX 02:41 JFK 05:41
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86