本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
範例 Amazon Linux 2023 映像說明
範例 Amazon Linux 2023 映像說明有以下特性:
-
統一核心映像 (UKI) 啟動 – 使用單一且簽署的二進位檔啟動,可將核心、
initrd及啟動參數組合為一個不可變映像。 -
唯讀根檔案系統 – 使用增強的唯讀檔案系統 (
erofs) 搭配 dm-verity 防護,來確保無法修改根檔案系統,以及確保密碼編譯完整性驗證。 -
臨時堆疊式檔案系統 – 建立允許臨時寫入
/etc、/run及/var等目錄的臨時堆疊式檔案系統。由於此堆疊式檔案系統僅存在於記憶體中,一切變更皆會在執行個體重新啟動後自動遺失,從而確保系統返回到其原始可信狀態。 -
停用的遠端存取方法 – 移除下面的遠端存取機制以阻止遠端存取:
存取方法 Description 映像說明實作 SSH 排除 OpenSSH 伺服器。讓執行個體本質上不能處理 SSH 流量。 忽略 openssh-server套件 *使用者資料 移除 Cloud-init。讓操作員無法向執行個體提供使用者資料,以及在啟動時執行指令碼。 忽略 cloud-init與cloud-init-cfg-ec2套件 *Chrony 停用 chrony 命令連接埠。阻止運算子在執行中的執行個體上執行 chrony 命令。 忽略 amazon-chrony-config套件 *MOTD 移除 MOTD 套件。讓操作員無法在執行中的執行個體上變更訊息或功能。 忽略 update-motd套件 *AWS SSM 移除 AWS SSM 代理程式。防止使用 AWS SSM 遠端存取執行中的執行個體。 忽略 amazon-ssm-agent套件 *EC2 執行個體連線 移除 EC2 Instance Connect 套件。使用此工具來停用 SSH 存取權。 忽略 ec2-instance-connect套件 *序列主控台 停用序列主控台。確保執行中的執行個體無法使用主控台存取權,以及讓操作員無法登入序列主控台。 已透過核心命令列參數停用 * 若要了解詳細資訊,請參閱映像說明元素
。
