全部产品
Search

搜索本产品

    Elastic Compute Service:Hindari Menggunakan Kredensial Logon Bawaan dalam Citra Kustom

    文档中心

    Elastic Compute Service:Hindari Menggunakan Kredensial Logon Bawaan dalam Citra Kustom

    更新时间:Nov 09, 2025

    Saat membuat instance Elastic Compute Service (ECS), gunakan kredensial otentikasi baru dan terpisah, seperti pasangan kunci Secure Shell (SSH). Hindari menggunakan kredensial logon bawaan yang mungkin ada di dalam citra kustom.

    Risiko keamanan

    Saat membuat instance ECS baru dari citra kustom, instance tersebut mewarisi kata sandi logon bawaan atau kunci SSH dari citra. Citra publik tidak berisi kata sandi default. Kredensial ini sering kali disetel untuk kenyamanan pembuat citra atau untuk pengujian awal pengguna, tetapi mereka memperkenalkan risiko keamanan:

    • Pajanan Kredensial yang Tidak Terkendali: Citra kustom berasal dari berbagai sumber. Kata sandi default atau kunci bawaan mereka mungkin telah didistribusikan ke banyak pengguna. Mereka bahkan mungkin secara tidak sengaja diterbitkan di repositori kode publik atau forum teknis. Penyerang terus-menerus memindai platform cloud dan mencoba masuk menggunakan kredensial publik yang dikenal ini. Jika berhasil, mereka dapat memperoleh kontrol penuh atas server Anda.

    • Tindakan Keamanan Dilewati: Setelah penyerang memiliki kredensial default, mereka dapat melewati semua tindakan keamanan lainnya dan langsung masuk ke server.

    Praktik terbaik

    1. Saat membuat citra kustom, hapus kata sandi bawaan atau kunci SSH untuk mencegah mereka terpapar.

      • Hapus kata sandi untuk semua pengguna (passwd -d <username>).

      • Pastikan bahwa file /root/.ssh/authorized_keys dan file `authorized_keys` untuk pengguna lainnya kosong.

      • Bersihkan riwayat bash (history -c && history -w).

    2. Saat membuat instance dari citra kustom, hindari menggunakan kata sandi bawaan dari citra tersebut.

      Operasi ini mengonfigurasi ulang kredensial logon (kata sandi atau pasangan kunci) untuk root atau ecs-user. Ini tidak membersihkan kredensial logon pengguna lainnya. Untuk informasi lebih lanjut tentang cara membersihkan kredensial logon pengguna lainnya, lihat langkah-langkah di bagian Perbaiki Masalah.

      Instance Linux

      Saat membuat instance dari citra kustom, hindari menggunakan kata sandi bawaan dari citra tersebut. Gunakan pasangan kunci sebagai gantinya.

      Konsol

      Saat membuat instance dari citra kustom, jangan pilih Use Preset Password of Image. Sebagai gantinya, gunakan Key Pair.

      API

      Saat membuat instance dengan memanggil operasi RunInstances atau CreateInstance, atur parameter PasswordInherit menjadi false.

      Instance Windows

      Saat membuat instance dari citra kustom, jangan pilih Use Preset Password of Image. Sebagai gantinya, atur kata sandi kustom yang kuat. Pasangan kunci tidak didukung.

    Kemampuan kepatuhan

    Periksa: Periksa instance yang tidak sesuai

    Masuk ke instance Linux menggunakan Workbench untuk melakukan pemeriksaan.

    • Periksa Akun Pengguna yang Mencurigakan: Lihat file /etc/passwd untuk memeriksa pengguna yang tidak dikenal yang tidak Anda buat atau yang bukan pengguna sistem default.

      cat /etc/passwd

    • Periksa Kunci Publik SSH yang Diotorisasi: Periksa file authorized_keys di lokasi sistem penting untuk memeriksa kunci publik yang dikonfigurasikan untuk logon tanpa kata sandi.

      # Periksa kunci publik yang diotorisasi untuk pengguna root
cat /root/.ssh/authorized_keys

# Periksa kunci publik yang diotorisasi untuk pengguna lain, seperti 'admin'
cat /home/admin/.ssh/authorized_keys

      Tinjau dengan cermat kunci publik dalam file tersebut. Pastikan semuanya sesuai dengan kunci privat yang saat ini Anda gunakan. Segera hapus kunci publik yang mencurigakan atau tidak dikenal.

    Blokir: Cegah pembuatan instance yang menggunakan kata sandi preset dari citra

    Gunakan kebijakan Resource Access Management (RAM) di tingkat organisasi atau akun untuk secara proaktif memblokir pembuatan instance yang menggunakan kata sandi bawaan dari citra.

    • Untuk Pengguna Perusahaan:

      1. Masuk ke Konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di panel navigasi di sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempelkan konten JSON berikut.

        Kebijakan ini menolak izin untuk mewarisi kata sandi default dari citra saat Anda membuat instance atau mengganti disk sistem.
        {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance",
                "ecs:ReplaceSystemDisk"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ecs:PasswordInherit": [
                        "true"
                    ]
                }
            },
            "Effect": "Deny"
        }
    ]
}

      2. Di Direktori Sumber Daya, pilih node yang sesuai dan lampirkan kebijakan tersebut. Kebijakan ini akan memblokir aksi untuk semua akun di bawah node tersebut.

    • Untuk Pengguna Individu:

      1. Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda. Di panel navigasi di sebelah kiri, klik Policies dan buat kebijakan kustom yang berisi konten yang sama seperti yang ditunjukkan di atas.

      2. Lampirkan kebijakan tersebut ke pengguna RAM, grup pengguna RAM, atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin Menggunakan Kebijakan.

    Perbaiki masalah: Perbaiki risiko dari instance dengan kata sandi preset dari citra

    1. Atur Kredensial Logon Baru

      • Instance Linux: Lampirkan Pasangan Kunci Baru

        1. Pergi ke dari Konsol ECS. Pilih wilayah dan kelompok sumber daya. Kemudian, klik ID instance target untuk pergi ke halaman detail instance.

        2. Klik More > Attach Key Pair. Pilih pasangan kunci yang ada dan klik OK. Mulai ulang instance agar perubahan berlaku.

      • Instance Windows: Atur Ulang Kata Sandi

        1. Pergi ke dari Konsol ECS. Pilih wilayah dan kelompok sumber daya. Kemudian, klik ID instance target untuk pergi ke halaman detail instance.

        2. Klik More > Reset Instance Password. Atur kata sandi kuat seperti yang diminta dan klik Confirm Modification.

    2. Bersihkan kredensial preset asli dari citra (Linux)

      1. Masuk ke instance ECS menggunakan pasangan kunci baru yang Anda lampirkan atau kata sandi baru.

      2. Hapus kunci publik lama: Periksa dengan cermat dan bersihkan semua kunci publik lama dari file authorized_keys.

        # Edit file authorized_keys untuk pengguna root dan hapus semua kunci publik yang tidak diinginkan
vi /root/.ssh/authorized_keys

# Lakukan operasi yang sama untuk semua pengguna lainnya
vi /home/<username>/.ssh/authorized_keys

      3. Nonaktifkan logon berbasis kata sandi: Setelah memastikan bahwa Anda dapat masuk menggunakan pasangan kunci, ubah konfigurasi layanan SSH untuk menonaktifkan logon berbasis kata sandi. Izinkan hanya logon berbasis pasangan kunci.

        # 1. Edit file konfigurasi SSH
sudo vi /etc/ssh/sshd_config

# 2. Temukan dan ubah baris berikut
PasswordAuthentication no
PubkeyAuthentication yes

# 3. Mulai ulang layanan SSH agar konfigurasi berlaku
sudo systemctl restart sshd

    3. Bersihkan Pengguna Sistem dan File yang Tidak Perlu

      Periksa file /etc/passwd dan /etc/shadow. Hapus akun pengguna yang tidak perlu yang tersisa dari proses pembuatan citra. Selain itu, periksa dan hapus file sementara atau skrip apa pun yang mungkin berisi informasi sensitif, seperti kata sandi lama atau kunci.