终止支持通知:2026年5月20日, AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后,您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 不再适用于新账户和在过去 6 个月内未完成评估的账户。对于所有其他账户,访问权限将在 2026 年 5 月 20 日之前有效,之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息,请参阅 Amazon Inspector Classic 终止支持。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector Classic 教程 - Red Hat Enterprise Linux
在按照本教程中的说明进行操作之前,建议您熟悉一下 Amazon Inspector Classic 术语和概念。
本教程演示如何使用 Amazon Inspector Classic 分析运行 Red Hat Enterprise Linux 7.5 操作系统的 EC2 实例的行为。它提供了 step-by-step有关如何浏览 Amazon Inspector Classic 工作流程的说明。该工作流程包括准备 Amazon EC2 实例、运行评估模板以及执行评估结果中生成的建议安全修复。如果您是首次接触的用户并且要通过一键单击来设置和运行 Amazon Inspector Classic 评估,请参阅创建基本评估。
主题
步骤 1:设置 Amazon EC2 实例,与 Amazon Inspector Classic 配合使用
在本教程中,将创建一个运行 Red Hat Enterprise Linux 7.5 的 EC2 实例,并使用 Name 密钥和值 InspectorEC2InstanceLinux为其添加标签。
注意
有关为 EC2 实例添加标签的更多信息,请参阅资源和标签。
步骤 2:修改 Amazon EC2 实例
在本教程中,您将修改目标 EC2 实例以了解潜在安全问题 CVE-2018-1111。欲了解更多信息,请参阅 https://cve.mitre。 org/cgi-bin/cvename.cgi? name=cve
连接到实例 InspectorEC2InstanceLinux 并运行以下命令:
sudo yum install dhclient-12:4.2.5-68.el7
关于连接到 EC2 实例方法的说明,请参阅 Amazon EC2 用户指南(适用于 Windows 实例) 中的连接到您的实例。
步骤 3:创建评估目标并在 EC2 实例上安装代理
Amazon Inspector Classic 使用评估目标指定要评估的 AWS 资源。
创建评估目标并在 EC2 实例上安装代理
登录 AWS 管理控制台 并打开 Amazon Inspector Classic 控制台,网址为https://console.aws.amazon.com/inspector/
。 -
在导航窗格中,选择 Assessment targets (评估目标),然后选择 Create (创建)。
执行以下操作:
-
对于 Name (名称),输入评估目标的名称。
在本教程中,请输入
MyTargetLinux。 -
对于使用标签,在密钥字段和值字段中输入值,以选择要包含在此评估目标中的 EC2 实例。
在本教程中,通过在密钥字段中输入
Name并在 值字段中输入InspectorEC2InstanceLinux,选择上一步创建的 EC2 实例。要在评估目标中包含您的 AWS 账户和区域中的所有 EC2 实例,请选中 所有实例 复选框。
-
选择保存。
-
在标记的 EC2 实例上安装 Amazon Inspector Classic 代理。要在评估目标中包含的所有 EC2 实例上安装代理,请选中 Install Agents (安装代理) 复选框。
注意
您还可使用 AWS Systems Manager Run Command 来安装 Amazon Inspector Classic 代理。要在评估目标中的所有实例上安装代理,您可以指定您在创建评估目标时使用的相同标签。您也可以在 EC2 实例上手动安装 Amazon Inspector Classic 代理。有关更多信息,请参阅 安装 Amazon Inspector Classic 代理。
-
选择 Save。
-
注意
此时,Amazon Inspector Classic 将创建名为 AWSServiceRoleForAmazonInspector的服务相关角色。此角色向 Amazon Inspector Classic 授予对您的资源的必需访问权限。有关更多信息,请参阅 为 Amazon Inspector Classic 创建服务相关角色。
步骤 4:创建和运行评估模板
创建并运行您的模板
-
在导航窗格中,选择 Assessment templates (评估模板),然后选择 Create (创建)。
-
对于 Name (名称),输入评估模板的名称。在本教程中,请输入
MyFirstTemplateLinux。 -
对于 Target name (目标名称),请选择上面创建的评估目标
MyTargetLinux。 -
对于 Rules packages (规则包),选择要在此评估模板中使用的规则包。
在本教程中,选择 Common Vulnerabilities and Exposures-1.1 (常见漏洞和风险-1.1)。
-
对于持续时间,为评估模板指定持续时间。
在本教程中,请选择 15 minutes (15 分钟)。
-
选择创建并运行。
步骤 5:找到并分析您的结果
已完成的评估运行将生成一组结果,或生成 Amazon Inspector Classic 在评估目标中发现的潜在安全问题。您可以查看结果并执行推荐步骤以解决潜在安全问题。
在本教程中,如果完成了上述步骤,评估运行将生成针对常见漏洞 CVE-2018-1111
找到并分析您的结果
-
在导航窗格中,选择 Assessment runs (评估运行)。验证名为的评估模板的运行状态MyFirstTemplateLinux是否设置为收集数据。这表示该评估运行当前正在进行,并且系统正在针对所选规则包收集和分析您的目标的遥测数据。
-
您无法查看由仍在进行的评估运行生成的结果。让评估运行完成其整个持续时间。但是,在本教程中,您可以在几分钟后停止该运行。
状态首先MyFirstTemplateLinux更改为 “正在停止”,然后在几分钟后更改为 “分析”,最后变为 “分析完成”。要查看状态的这些变化,请选择 Refresh (刷新) 图标。
-
在导航窗格中,选择 调查发现。
你可以看到一个名为 Instance Ins pector 的高严重性新发现EC2InstanceLinux 容易受到 CVE-2018-1111 的攻击。
注意
如果没有看到该新结果,请选择 Refresh (刷新) 图标。
要展开视图并查看此结果的详细信息,请选择结果左侧的箭头。结果的详细信息包含以下内容:
-
结果的 ARN
-
生成此结果的评估运行的名称
-
生成此结果的评估目标的名称
-
生成此结果的评估模板的名称
-
评估运行开始时间
-
评估运行结束时间
-
评估运行状态
-
包含触发了此结果的规则的规则包的名称
-
Amazon Inspector Classic 代理 ID
-
结果的名称
-
结果的严重性
-
结果的描述
-
建议的补救步骤,您可完成这些步骤来修复结果描述的潜在安全问题
-
步骤 6:将推荐的修复应用于评估目标
在本教程中,您已修改评估目标以了解潜在安全问题 CVE-2018-1111。在此过程中,您可以将推荐的修复应用于此问题。
将修复应用于目标
-
连接到上一节中创建的实例
InspectorEC2InstanceLinux,然后运行以下命令:sudo yum update dhclient-12:4.2.5-68.el7 -
在评估模板页面上 MyFirstTemplateLinux,选择,然后选择运行,使用此模板开始新的评估。
-
按照中的步骤操作步骤 5:找到并分析您的结果,查看后续运行MyFirstTemplateLinux模板后得出的结果。
由于您已解决 CVE-2018-1111 安全问题,因此,应将不会再看到此问题的结果。
