Cal*_*ene 3 google-compute-engine google-cloud-platform
每当您在 GCP 中创建项目时,都会有一个名为“default-allow-ssh”的默认防火墙规则,它允许端口 22 上的 0.0.0.0/0,这使得从浏览器通过 ssh 轻松进入具有外部 ip 的机器. 但这允许互联网上的任何机器通过端口 22 访问我的机器,并且机器人不断尝试访问他们能找到的任何内容。我想他们仍然需要破解密码或 ssh-key 之类的东西,但这不是一个非常危险的默认设置规则吗?当您使用 external-ip 启动一台新机器时,实际上并没有任何警告,我希望 GCP 有一个更受限制的方法。如果有人能帮我澄清这一点,将不胜感激。如果我删除了这个默认规则,但仍然想通过 ssh 访问我的机器,哪种方法既简单又安全?
如果没有此规则,当您尝试使用gcloud命令行工具通过 SSH 进行 SSH 时,请求将立即被拒绝,因此 AFAIK,这里的 Compute Engine 选择已针对 GCE 入门进行了优化。
我还认为默认情况下禁用密码身份验证,因此任何攻击者都有两种进入途径:
我认为考虑到今天的技术,第一个是相当牵强的。如果这足够容易,我们就会在世界上遇到更大的问题。
如果您没有由 Google Cloud Platform 定期部署自动安全补丁,那么第二个似乎需要担心。是的,这仍然容易受到 0-day 漏洞的攻击,但鉴于 Google 的安全团队是最近在热门项目中发现了几个安全漏洞的人(例如,我很确定 Heartbleed 是由以下人员发现、修补和披露的) Google),很可能如果所有 GCE VM 使用的 SSH 代理中存在安全漏洞,Google 会比其他任何人都更快地修补它。
也就是说,如果您真的不喜欢这条规则,我很确定您可以进入并更改规则的定义,以便默认情况下它只允许所有 VM 的某些特定 IP 或子网列表。
| 归档时间: |
|
| 查看次数: |
1146 次 |
| 最近记录: |