Amazon Inspector Classic 安全最佳实践

中等

评估目标中的 EC2 实例已配置为允许用户使用根凭证通过 SSH 进行登录。这会增大暴力攻击的成功率。

建议您将 EC2 实例配置为阻止根账户通过 SSH 进行登录。而在必要时，以非根用户身份登录并使用 sudo 提升权限。要禁用 SSH 根账户登录，请将 PermitRootLogin 设置为 no（在 /etc/ssh/sshd_config 文件中），然后重启 sshd。

中等

评估目标中的 EC2 实例将配置为支持 SSH 1，后者自带的设计缺陷大大降低了其安全性。

建议您将评估目标中的 EC2 实例配置为仅支持 SSH-2 及更高版本。对于 OpenSSH，您可以通过在 /etc/ssh/sshd_config 文件中设置 Protocol 2 来实现这一点。有关更多信息，请参阅 man sshd_config。

中等

评估目标中的 EC2 实例将配置为支持通过 SSH 进行密码身份验证。密码身份验证易受暴力攻击，如有可能，应将其禁用以支持基于密钥的身份验证。

建议您对 EC2 实例禁用通过 SSH 的密码身份验证，并启用对基于密钥的身份验证的支持。这将大大减小暴力攻击的成功率。有关更多信息，请参阅 https://aws.amazon.com/articles/1233/。如果支持密码身份验证，请务必仅允许通过可信 IP 地址对 SSH 服务器进行的访问。

中等

未为评估目标中的 EC2 实例配置密码最长使用期。

如果您使用的是密码，建议在评估目标中的所有 EC2 实例上配置密码的最长使用期。这需要用户定期更改其密码，减小密码猜测攻击的成功率。要为现有用户解决此问题，请使用 chage 命令。要为所有将来用户配置密码的最长使用期，请编辑 /etc/login.defs 文件中的 PASS_MAX_DAYS 字段。

中等

未为评估目标中的 EC2 实例配置密码的最小长度。

如果您使用的是密码，建议您在评估目标中的所有 EC2 实例上配置密码的最小长度。强制执行最小密码长度将减小密码猜测攻击的成功率。您可以通过使用 pwquality.conf 文件中的以下选项执行该操作：minlen欲了解更多信息，请参阅 https://linux.die。 net/man/5/pwquality.conf。

如果 pwquality.conf 在您的实例上不可用，您可以使用 pam_cracklib.so 模块设置 minlen选项。有关更多信息，请参阅 man pam_cracklib。

minlen 选项应设置为 14 或更大。

中等

未在评估目标中的 EC2 实例上配置密码复杂度机制或限制。这将允许用户设置简单密码，从而增加未经授权的用户获得访问权和误用账户的几率。

如果您使用的是密码，建议您将评估目标中的所有 EC2 实例配置为需要一定的密码复杂度。您可以通过使用 pwquality.conf 文件中的以下选项执行该操作：lcredit、ucredit、dcredit 和 ocredit。欲了解更多信息，请参阅 https://linux.die。 net/man/5/pwquality.conf。

如果 pwquality.conf 在您的实例上不可用，您可以使用 pam_cracklib.so 模块设置 lcredit、ucredit、dcredit 和 ocredit 选项。有关更多信息，请参阅 man pam_cracklib。

每个选项的预期值都小于或等于 -1，如下所示：

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

此外，该 remember 选项必须设置为 12 或更大的值。有关更多信息，请参阅 man pam_unix。

中等

评估目标中的 EC2 实例未启用 ASLR。

要增强评估目标的安全性，建议您通过运行 echo 2 | sudo tee /proc/sys/kernel/randomize_va_space在目标的所有 EC2 实例的操作系统上启用 ASLR。

中等

评估目标中的 EC2 实例未启用 DEP。

建议您在评估目标中的所有 EC2 实例的操作系统上启用 DEP。启用 DEP 将使用缓冲区溢出技术来确保您的实例免受安全损害。

高

评估目标中的 EC2 实例包含非根用户可写入的系统目录。

要增强评估目标的安全性并防止恶意本地用户提升权限，请将目标中的所有 EC2 实例上的所有系统目录配置为只能由使用根账户凭证登录的用户写入。