外部漏洞扫描程序将我通过 AWS Route 53 管理的域标记为没有 clientDeleteProhibited、clientRenewProhibited 和 clientUpdateProhibited EPP status codes set。
我通过 whois 确认了这一点:
符合要求的域名的良好 whois 条目
# whois.registrar.amazon.com
# ...
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
不合规域的错误条目
# whois.registrar.amazon.com
# ...
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
如何配置 AWS Route 53 以启用这些状态代码?
答案 0 :(得分:1)
你不能。它甚至没有在 AWS CLI/API (https://docs.aws.amazon.com/Route53/latest/APIReference/API_Operations_Amazon_Route_53.html) 中定义。
但是,您受到一定程度的保护,因为删除 Route 53 中的域需要确认,如 AWS 所述:
<块引用>重要提示:当我们收到删除域的请求时,ICANN 要求我们从当前注册联系人处获得确认。 我们将从 noreply@domainnameverification.net 发送电子邮件或 noreply@registrar.amazon.com 至注册联系人
我不会太重视该工具的扫描结果,因为实际上可以保护您的域免受不必要的删除、续订或更新的是保护您的 AWS 帐户,例如,为您的帐户设置 2FA(双因素身份验证)根用户。如果您对 AWS 的访问不是针对您的个人账户(例如您自己的网站或实验),那么强烈建议您避免使用根用户登录来执行常见任务,而是根据策略创建 IAM 角色,以便每个(一组) 用户有一个特定的任务。
请注意,仅在 Route 53 中启用了 clientTransferProhibited(传输锁定),因为它指的是可以从外部(恶意)启动的操作,而不仅仅是在 Route 53 内启动。