Wil*_*rne 13 ssh amazon-ec2 amazon-web-services
我正在寻求澄清我认为 EC2 安全组的潜在问题。
我正在设置一个用于连接到 linux 实例的安全组。我为 HTTP 和 HTTPS 访问创建了“任何地方”规则。
对于我的 SSH 规则,亚马逊教程说我应该限制对我的公共 IP 地址的入站访问。
我不明白的是,如果您的公共 IP 地址是动态的,那么它的安全性或可行性如何?
我的 IP 地址是动态的,那么当我的 ISP 更改我的公共 IP 并且我无法再通过 ssh 进入我的实例时会发生什么?
链接到我正在使用的设置指南:http : //docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html(“创建安全组”的第 7 步' 对我来说似乎有问题)
通过 IP 地址限制对 SSH 服务器的访问是可以的,但 SSH 的安全性并不依赖于此。如果您禁用密码登录 ( PasswordAUthentication no) 并仅使用私钥身份验证,则没有您的私钥,任何人都无法进入。它是安全的。
换句话说,如果您不愿意,则不必担心防火墙规则。
我不明白的是,如果您的公共 IP 地址是动态的,那么它的安全性或可行性如何?
如果您发现您的 IP 不经常更改,或者您只需要短时间内访问,则此解决方案可能会起作用。它增加了额外的安全层,因为 SSH 不会暴露于您提供的 CIDR 之外的流量。
如果特定的 CIDR 不起作用,您可以尝试使用或更多您的 ISP 可能使用的主板 CIDR 范围,这仍然会限制来自大部分 Internet 的访问,这是安全方面的胜利。
当我的 ISP 更改我的公共 IP 并且我无法再通过 ssh 进入我的实例时会发生什么?
您可以登录 AWS 控制台,或使用 CLI 动态更新安全组规则。
您可以编写一个直接与 CLI 交互的脚本。它可以像检查Port 22 rule当前 IP 并在不同时更新它一样简单。当然,运行这样的脚本本身可能会引发更多的安全问题:)
虽然在可行的情况下将 ssh 流量限制为仅受信任的 IP 源是很好的,但使 ssh 安全的是使用私钥和合理的配置。
需要考虑的关键项目:
您还可以做一些事情来消除与蛮力攻击相关的“噪音”:
| 归档时间: |
|
| 查看次数: |
13920 次 |
| 最近记录: |