如果我的 Amazon EC2 凭证在时间被盗D,我可以通过以下方式验证根卷的完整性:
- 在 EC2 API 中查找实例,检查主网络接口连接的时间,并将其用作系统创建时间
- 查找卷附加的时间
- 如果系统创建时间和根卷连接时间在 10 秒内,则认为系统未经修改。
我在此假设该实例是在时间之前创建的D。
提出问题的另一种方式:这种情况。我有一个实例。我停止了该实例。有人窃取(借用)了我的 AWS 凭证,将该实例的根卷安装到服务器 B,通过添加他们的 SSH 密钥修改根卷,然后将其重新安装到原始服务器。在启动原始服务器之前,我如何知道该卷已被修改?
答案1
如果您想要对 EC2 实例实施安全审计,请考虑使用 Windows 原生功能,例如安全事件日志(https://msdn.microsoft.com/en-us/library/windows/desktop/aa385780(v=vs.85).aspx)如果使用Linux,你可以安装一些第三方审计工具(https://cisofy.com/lynis/)
如果它显示任何可疑活动,例如从未知位置登录,则您的实例已被破坏。
此外,建议限制可用作源 IP 地址的 IP 地址范围,以便连接到您的实例。在这种情况下,即使您的密钥被盗,也无法从您的网络位置以外的任何地方连接到您的实例。