V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
elgae
V2EX  ›  程序员

AWS 上开了一个实例,需要的几个服务已经跑起来了。请教下,安全性方面,怎么配置比较合适?

  •  
  •   elgae · 2018-01-21 19:17:58 +08:00 · 3761 次点击
    这是一个创建于 2501 天前的主题,其中的信息可能已经有所发展或是发生改变。
    17 条回复    2018-01-26 00:57:38 +08:00
    nicevar
        1
    nicevar  
       2018-01-21 20:23:57 +08:00   ❤️ 4
    先把最基本的处理了,ssh 默认端口修改、限制 root 用户登录、连接次数、同时登录用户数、超时时间
    其他没必要开的端口全屏蔽了,数据库最好不要开启外网访问
    管理后台别直接暴露链接
    php 之类的注入检测防范一下
    fredcc
        2
    fredcc  
       2018-01-21 20:47:51 +08:00   ❤️ 1
    AWS 有安全相关的 best practice 白皮书。跟 vps 开台机器有很大不同。看你业务规模和学习意愿选吧
    precisi0nux
        3
    precisi0nux  
       2018-01-21 21:41:41 +08:00 via iPhone
    看看怎么配 security group
    knightdf
        4
    knightdf  
       2018-01-21 22:22:03 +08:00   ❤️ 1
    aws 默认不能 root 登录,默认只能用 key 登录,所以你在安全组打开你要的端口就可以了,其他都不需要配置
    elgae
        5
    elgae  
    OP
       2018-01-21 22:58:58 +08:00
    @knightdf 看了 AWS 的 Linux 实例用户指南,目前入站规则,开放了 http、https、ssh,来源无限制。出站规则,允许所有。
    knightdf
        6
    knightdf  
       2018-01-21 23:04:06 +08:00   ❤️ 1
    @elgae 只需要关心入站,出站一般都是全部开放
    eoo
        7
    eoo  
       2018-01-21 23:05:39 +08:00 via Android
    是免费那一款吗?
    elgae
        8
    elgae  
    OP
       2018-01-21 23:25:24 +08:00
    @eoo 免费的,有不同的系统可以选择。用来做 telegram bot 的服务器。
    fredcc
        9
    fredcc  
       2018-01-21 23:38:58 +08:00
    看看 aws 的官方文档,其实都有官方建议,从简到繁
    https://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenarios.html
    opengps
        10
    opengps  
       2018-01-22 09:00:59 +08:00   ❤️ 1
    安全组,只开通需要的端口,另外就是远程管理这种端口改掉,不要用默认的。
    这两步看似简单,实际很有效果。
    剩下的就是让你的程序不要有漏洞了
    再剩下的才是高难度的安全防护
    lairdnote
        11
    lairdnote  
       2018-01-22 10:16:46 +08:00
    waf
    likuku
        12
    likuku  
       2018-01-22 11:53:26 +08:00
    按 aws 官方教程流程来,就已经很安全了。

    优先 VPC,再接着所用的实例还有其它资源的授权不要滥给高权限账户身份。

    需求高点,可以花点小钱买官方支持服务,可以直接和 aws 专家商讨 /请教各种技术问题 /方案。

    有兴趣,欢迎加入 telegram 的 aws chinese user 组 (两岸三地 都有)
    romennts
        13
    romennts  
       2018-01-22 20:53:22 +08:00   ❤️ 1
    除了楼上 V 友说的之外,还有 IAM 也是很关键的一环。
    jisi724
        14
    jisi724  
       2018-01-23 02:06:37 +08:00   ❤️ 1
    我们在生产环境中比较在乎的是 security group 和 IAM 的配置。
    1). 保证不同人员只有自己的需要的权限,root 一般不用。
    2). 生产环境里只开放需要的端口,其他的一律屏蔽。比如 RDS 只对 EBS,某个 EC2 或者办公室 IP 开放端口等等。

    最后安利一个 Terraform for aws ( https://www.terraform.io/docs/providers/aws/index.html), 代码化管理 AWS 服务,也方便以后进行平台迁移。
    elgae
        15
    elgae  
    OP
       2018-01-25 21:59:21 +08:00
    谢谢各位提供的建议,就不一一 @了。

    @likuku 拉我进组,telegram 账号 belgae
    elgae
        16
    elgae  
    OP
       2018-01-25 22:01:37 +08:00
    @fredcc 你贴的文档不对,不过还是谢谢。
    likuku
        17
    likuku  
       2018-01-26 00:57:38 +08:00
    @elgae 已发送入群链接
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1977 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 16:22 · PVG 00:22 · LAX 08:22 · JFK 11:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.