Защитите экземпляр EC2 от входа без .pem файла
Я вижу здесь и здесь (при Соединении с Вашим Экземпляром Linux, если Вы Теряете Свой Закрытый ключ), способы получить доступ к экземпляру EC2 без .pem файла, который был создан, когда экземпляр был создан.
Я хотел бы защитить свой EC2 так НИКТО без .pem файла (что я имею локально на моей машине), сможет получить доступ к нему.
BTW, у меня все еще есть в ec2 пары ключей экземпляров (общественность, цифровой отпечаток)
Как я могу сделать это?
Вы не сразу пришли и сказали это, но вы предоставили доступ к консоли AWS тому, кому вы не доверяете. Это проблема, которую вам нужно решить.То, что вы сделали, эквивалентно предоставлению кому-то физического доступа к вашему серверу. Как только вы это сделаете, все ставки сняты. Игра окончена.
Итак, первое, что вам нужно сделать, это запретить этому человеку доступ к вашей учетной записи AWS. После того, как вы это сделаете, все, что вам нужно сделать, это защитить свой закрытый ключ (что уже звучит так, как будто вы это делаете), и шансы взлома ваших серверов через SSH практически равны нулю.
У вас есть несколько вариантов управления доступом. Используйте как можно больше этих подходов.
- Используйте хранилище экземпляров с поддержкой EC2.
- Настройте MFA на консоли AWS.
- Настройте Группы безопасности на вашем компьютере EC2.
- Добавьте парольную фразу в свой закрытый ключ SSH.
- Отключите аутентификацию пароля для SSH.
- Отключите вход в систему root на SSH.
- Проверить все учетные записи пользователей на предмет открытых ключей SSH.
Если вы выполните все вышеперечисленные шаги, вы предотвратили обходной путь, описанный выше в вашем вопросе. Подход, изложенный в моем ответе, можно назвать «глубокой защитой», что означает необходимость решать проблему на нескольких уровнях. Таким образом, даже если есть компромисс или ошибка на одном уровне, другие предотвратят доступ.