Tôi đang tìm kiếm làm rõ về những gì tôi thấy là một vấn đề tiềm ẩn với Nhóm bảo mật EC2.

Tôi đang thiết lập Nhóm bảo mật để kết nối với các phiên bản linux. Tôi đã tạo quy tắc "mọi nơi" để truy cập HTTP và HTTPS.

Đối với quy tắc SSH của tôi, hướng dẫn trên amazon nói rằng tôi nên giới hạn quyền truy cập vào địa chỉ IP công cộng của mình .

1. Những gì tôi không nhận được là làm thế nào an toàn hoặc khả thi nếu địa chỉ IP công cộng của bạn động?

2. Địa chỉ IP của tôi là động, vậy điều gì xảy ra khi ISP của tôi thay đổi IP công cộng của tôi và tôi không còn có thể ssh vào ví dụ của mình?

Liên kết đến hướng dẫn thiết lập Tôi đang sử dụng: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html (Bước 7 của 'Tạo nhóm bảo mật 'là những gì có vẻ có vấn đề với tôi)

Những gì tôi không nhận được là làm thế nào an toàn hoặc khả thi nếu địa chỉ IP công cộng của bạn động?

Giải pháp này có thể hoạt động nếu bạn thấy IP của mình không thay đổi thường xuyên hoặc nếu bạn chỉ cần truy cập trong một thời gian ngắn. Nó bổ sung thêm một lớp bảo mật vì SSH không tiếp xúc với lưu lượng truy cập bên ngoài CIDR mà bạn cung cấp.

Nếu một CIDR cụ thể không hoạt động, bạn có thể thử hoặc sử dụng nhiều dải CIDR mà ISP của bạn có thể sử dụng, điều này vẫn sẽ hạn chế quyền truy cập từ một tỷ lệ lớn của Internet và đó là một chiến thắng cho bảo mật.

Điều gì xảy ra khi ISP của tôi thay đổi IP công cộng của tôi và tôi không còn có thể ssh vào ví dụ của mình?

Bạn có thể đăng nhập vào Bảng điều khiển AWS hoặc sử dụng CLI để cập nhật quy tắc Nhóm bảo mật một cách nhanh chóng.

Bạn có thể viết một kịch bản tương tác trực tiếp với CLI. Nó có thể đơn giản như thứ gì đó kiểm tra Port 22 ruleIP hiện tại của bạn và cập nhật nó nếu nó khác. Tất nhiên chạy một kịch bản như vậy có thể đặt ra nhiều câu hỏi bảo mật hơn :)

Tường lửa IP có phải là cách tốt nhất để bảo mật SSH không?

Mặc dù thật tuyệt khi giới hạn lưu lượng ssh chỉ ở các nguồn IP đáng tin cậy khi thực tế, nhưng điều làm cho ssh an toàn là việc sử dụng các khóa riêng và cấu hình hợp lý.

Các mục chính cần xem xét:

• Thêm cụm mật khẩu vào khóa riêng SSH của bạn
• Vô hiệu hóa mật khẩu auth vào SSH
• Vô hiệu hóa đăng nhập root vào SSH
• Kiểm tra tất cả tài khoản người dùng cho các khóa công khai SSH

Bạn cũng có thể làm một số điều để loại bỏ 'tiếng ồn' liên quan đến các cuộc tấn công vũ phu:

• Chạy ssh trên một cổng cao hơn
• Sử dụng phần mềm như fail2ban, nó sẽ tự động ghi lại nhiều lần thử thất bại và chặn các dải IP trong khoảng thời gian được chỉ định

Sẽ tốt hơn nếu hạn chế quyền truy cập vào máy chủ SSH của bạn bằng địa chỉ IP, nhưng SSH không phụ thuộc vào điều đó để bảo mật. Nếu bạn tắt thông tin đăng nhập mật khẩu ( PasswordAUthentication no) và chỉ sử dụng xác thực khóa riêng, không ai có thể vào mà không có khóa riêng của bạn. Nó an toàn.

Vì vậy, nói cách khác, bạn không phải lo lắng về các quy tắc tường lửa nếu bạn không muốn.

Bạn có thể thêm phạm vi CIDR vào nhóm bảo mật đại diện cho siêu bộ của tất cả các IP mà ISP của bạn có thể phân bổ cho bạn.

Hoặc, hoặc sử dụng API AWS để cập nhật động nhóm bảo mật của bạn.

Có một vài giải pháp gần đây hơn cho câu hỏi cũ hơn này:

Từ bên trong AWS: Cách tự động cập nhật các nhóm bảo mật của bạn cho Amazon CloudFront và AWS WAF bằng cách sử dụng AWS Lambda

Cập nhật từ xa từ nguồn động (tập lệnh node.js): tập lệnh nút cập nhật aws-ec2-ssh-secgroup-update

Cập nhật từ xa từ nguồn động (tập lệnh Python): Tự động thêm IP công cộng hiện tại vào Nhóm bảo mật để cho phép lưu lượng truy cập trên cổng cụ thể

Bạn có thể sử dụng lệnh aws_ipadd để dễ dàng cập nhật và Quản lý quy tắc nhóm bảo mật AWS và liệt kê danh sách ip công khai của bạn với cổng bất cứ khi nào nó thay đổi.

$ aws_ipadd my_project_ssh
 Your IP 10.10.1.14/32 and Port 22 is whitelisted successfully.

$ aws_ipadd my_project_ssh
 Modifying existing rule...
 Removing old whitelisted IP '10.10.1.14/32'.
 Whitelisting new IP '10.4.10.16/32'.
 Rule successfully updated!