示例 Amazon Linux 2023 映像描述 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

示例 Amazon Linux 2023 映像描述

示例 Amazon Linux 2023 映像描述具有以下特性:

  1. 统一内核映像(UKI)启动:使用单个带签名的二进制文件启动,该二进制文件将内核、initrd 和启动参数组合成一个不可变的映像。

  2. 只读根文件系统:使用带有 dm-verity 保护功能的增强型只读文件系统(erofs),确保根文件系统无法进行修改并保持加密完整性验证。

  3. 临时覆盖文件系统:创建一个临时覆盖文件系统,允许临时写入 /etc/run/var 等目录。由于此覆盖文件系统仅存在于内存中,因此当实例重启时,所有更改都会自动丢失,从而确保系统恢复到其原始可信状态。

  4. 禁用远程访问方法:移除以下远程访问机制以防止远程访问:

    访问方法 描述 映像描述实现
    SSH 不包括 OpenSSH 服务器。使实例本质上无法处理 SSH 流量。 忽略 openssh-server 包 *
    用户数据 移除 Cloud-init。使操作员无法向实例提供用户数据和运行启动时脚本。 忽略 cloud-initcloud-init-cfg-ec2 包 *
    Chrony 禁用 chrony 命令端口。阻止操作员对正在运行的实例运行 chrony 命令。 忽略 amazon-chrony-config 包 *
    MOTD 移除 MOTD 包。使操作员无法更改正在运行的实例上的消息或功能。 忽略 update-motd 包 *
    Amazon SSM 移除 Amazon SSM 代理。阻止使用 Amazon SSM 远程访问正在运行的实例。 忽略 amazon-ssm-agent 包 *
    EC2 Instance Connect 移除 EC2 Instance Connect 包。使用此工具禁用 SSH 访问。 忽略 ec2-instance-connect 包 *
    串行控制台 禁用串行控制台。确保正在运行的实例无法访问控制台,并移除操作员登录串行控制台的能力。 通过内核命令行参数禁用

    * 有关更多信息,请参阅 Image Description Elements