问Amazon社区AMI+安全

EN

实际上，如果发生了什么，你总是可以从预先配置的AMI重新启动你的服务器。例如，使用Auto Scaling可以非常容易地完成这项工作。使用SSH Without a Password。相应地调整您的Security Groups。这里有一篇关于Securing Your EC2 Instance的好文章。

这里有一篇关于这方面的老文章(我还没有读过，但它可能是一个很好的起点)：http://media.amazonwebservices.com/Whitepaper_Security_Best_Practices_2010.pdf

我会推荐一些我不需要考虑的最佳实践

1)迁移到私有网络，控制进出访问权限。

2a)禁用SSH中的密码身份验证&仅允许来自已知IP的SSH

2b)如果您无法通过IP限制SSH访问(由于漫游等原因)，请允许密码身份验证，并使用google authenticator提供多因素身份验证。

3)在所有面向公众的网站前放置一个弹性负载均衡器，禁止访问除ELB以外的服务器

4)创建中央日志服务器，将日志存放在不同的位置，以防受到攻击。

5)每3个月更换一次所有系统密码

6)使用IDS，作为一个简单的起点，我建议使用tripwire。

7)定期检查更新(您可以使用像Nagios这样的监控系统在所有服务器上执行此操作)如果您不是安全专业人员，您可能没有时间整天阅读bugtraq，所以使用您的操作系统(CentOS/RHEL，它是yum)提供的服务

8)定期(每季度)进行外部漏洞评估。您可以自己学习和使用nessus (用于非公司用途)，也可以使用第三方，如qualys。

如果您有顾虑和疑问，请联系安全专业人员进行审计。这不应该是成本过高，可以给你一些很好的洞察力。

你必须明白两件事：

• 严密的安全性使得攻击者和you...
• Security的生活都很艰难，这是一项持续的任务。

让你的服务器在特定的时间点上安全，不要说任何关于未来的事情。

每天发布的新漏洞和补丁，以及许多“开发”行为都会使安全性变得不稳定。

解决方案-

您可以考虑像https://pagodabox.com/这样的服务

在那里你可以获得特定的PHP资源，而不必管理Linux/Security等等……

编辑：

只是为了同情..。

运行Production system，你负责站点的持续安全，强迫你做而不是启动一个安全的实例！

否则，随着时间的推移，随着的流逝，你的站点将变得更不安全(随着更多的人了解它)

在我看来(对于一个实际的生产站点)，有两个选项

• Get是一个安全专家服务(内部或自由职业)，它将定期检查您的网站，并将应用所需的补丁和so.
• Get 服务，为您管理安全方面。

我指出了一个类似的服务，在那里你可以把你的PHP代码放进去，他们会为你处理其他的事情。

我会为每个不能定期获得真正的安全checkup/fixes的生产站点检查这种类型的服务

安全是一个非常复杂的领域。不要低估风险..。