W odpowiedziach na Przepełnienie stosu (tak jak to ) często wykonuję zrzuty ekranu, które zawierają ID instancji należące do mnie. Czy ujawnienie ich jest złym pomysłem?
amazon-ec2
amazon-web-services
Cofnij
źródło
źródło
Odpowiedzi:
Widzę czasy, w których pracownicy Wsparcia AWS odpowiedzą komuś na forach z komunikatem „Czy możesz opublikować swój identyfikator instancji?” a następnie odpowiedzą takimi słowami: „tak, widzę, że Twoja instancja jest wyłączona itp.” ... więc zakładam, że nie jest to coś, co wsparcie techniczne inne niż AWS może wykorzystać Ty lub ich pracownicy wsparcia poprosilibyście o to za pośrednictwem prywatnej wiadomości lub podobnego, i (miejmy nadzieję) usunęliby z forów wszystko, co mogłoby zaszkodzić / zhakować instancję.
Oczywiście, to jest wykształcone założenie z mojej strony, więc weź to jak chcesz.
źródło
Zgadzam się - jedynym sposobem podania identyfikatora instancji byłoby „złe”, jeśli dasz komuś dostęp do AWS i tajne klucze lub uprawnienia konsoli (IAM lub root) i zmanipulujesz w ten sposób swoje zasoby.
źródło
Publiczne udostępnienie AMI nie zapewni nikomu łatwego dostępu do twojej maszyny.
Nie jest to tak złe, jak przekazanie klucza prywatnego lub publicznego adresu IP, którego nasłuchuje ssh.
Powiedziawszy to, ktoś może skorzystać z błędu lub w inny sposób wykorzystać AWS ... zaczynając od identyfikatora AMI.
Nie sugeruję, że wiem o takich exploitach lub że są one bardzo prawdopodobne, wystarczy, że podejmiesz ocenę ryzyka w porównaniu z wysiłkiem usunięcia tych danych.
źródło