Що я не отримую - це наскільки це безпечно чи зручно, якщо ваша загальнодоступна IP-адреса динамічна?
Це рішення може працювати, якщо ваш IP-адрес не змінюється часто або якщо вам потрібен доступ лише на короткий час. Це додає додатковий рівень безпеки, оскільки SSH не піддається трафіку за межами поставленого вами CIDR.
Якщо конкретний CIDR не працює, ви можете спробувати застосувати чи більше діапазонів CIDR на платформі, які ваш Інтернет-провайдер, ймовірно, використовуватиме, це все одно обмежить доступ із великого відсотка Інтернету, і це виграш для безпеки.
що відбувається, коли мій провайдер змінює свій публічний IP-адресу, і я більше не можу вступити в свій примірник?
Ви можете увійти на консоль AWS або скористатися CLI для оновлення правила групи безпеки на льоту.
Ви можете написати сценарій, який безпосередньо взаємодіє з CLI. Це може бути настільки ж просто, як щось, що перевіряє наявність Port 22 ruleвашого поточного IP та оновлює його, якщо воно інше. Звичайно, запуск такого сценарію може викликати більше питань безпеки :)
Чи є IP-брандмауер найкращим способом захисту SSH?
Хоча приємно обмежувати ssh-трафік лише довіреними джерелами IP, де це практично, але ssh захищено - це використання приватних ключів та розумна конфігурація.
Основні елементи, які слід врахувати:
- Додайте пароль до свого приватного ключа SSH
- Вимкнути авторизацію пароля до SSH
- Вимкнути логін root на SSH
- Перевірте всі облікові записи користувачів для відкритих ключів SSH
Ви також можете зробити кілька речей, щоб позбутися від "шуму", пов'язаного з грубою атакою:
- Запустити ssh на більш високому порті
- Використовуйте таке програмне забезпечення, як fail2ban, яке динамічно записуватиме численні невдалі спроби та блокує діапазони IP протягом визначених періодів часу