CloudLink: Desabilitar o acesso do console da AWS ao So CloudLink
Samenvatting: A AWS tem um agente SSM pré-instalado em todos os sistemas operacionais compatíveis. Esse agente de SSM também permitirá o acesso diretamente ao console do CloudLink OS.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
A Dell recomenda a remoção do agente SSM das instâncias do CloudLink, pois isso resultará em vulnerabilidades de segurança.
Oorzaak
Na AWS, o agente do SSM é pré-instalado em todos os sistemas operacionais compatíveis para permitir o acesso diretamente ao console do sistema operacional.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
Oplossing
Para desativar o login por meio do Session Manager no So CloudLink, o administrador deve desinstalar o agente do SSM da instância do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
Getroffen producten
CloudLink SecureVM, CloudLinkArtikeleigenschappen
Artikelnummer: 000200819
Artikeltype: Solution
Laatst aangepast: 09 nov. 2022
Versie: 5
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.