CloudLink: Desabilitar o acesso do console da AWS ao So CloudLink
Summary: A AWS tem um agente SSM pré-instalado em todos os sistemas operacionais compatíveis. Esse agente de SSM também permitirá o acesso diretamente ao console do CloudLink OS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A Dell recomenda a remoção do agente SSM das instâncias do CloudLink, pois isso resultará em vulnerabilidades de segurança.
Cause
Na AWS, o agente do SSM é pré-instalado em todos os sistemas operacionais compatíveis para permitir o acesso diretamente ao console do sistema operacional.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
Resolution
Para desativar o login por meio do Session Manager no So CloudLink, o administrador deve desinstalar o agente do SSM da instância do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
Affected Products
CloudLink SecureVM, CloudLinkArticle Properties
Article Number: 000200819
Article Type: Solution
Last Modified: 09 Nov 2022
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.