Soru Değişen IP adresimden AWS EC2 SSH


IP adresimin (IP adresimin ne olduğunu) sık sık değiştirdiğini ve böylece SSH'nın benim IP adresimden SSH'yi kabul ettiğinden dolayı benim EC2'ye başarısız olduğunu fark ettim.

Seçeneklerim nelerdir?

1) ISP'mden statik bir IP adresi isteyin mi?
2) SS2'yi sadece özel key.pem dosyasında 0.0.0.0/0 - röle üzerinden kabul etmek için EC2'yi açın.
3) IP adresimi AWS güvenlik grubunda ve MongoDB'im için diğer hosting şirketlerinde değiştirmeye devam edin.

Başka önerileriniz var mı?


4
2017-10-30 19:03


Menşei


Şahsen, SSH bağlantısının tüm bu kaba güç giriş denemeleriyle SSH bağlantınızın DOSedilmesini önlemek için belki de farklı bir limanda SSH'ya açık olmasının problemini görmüyorum. - Halfgaar
Evim makinem için statik bir IP almadan önce, dinamik IP'mn her zaman aynı C sınıfı blokta kaldığını gördüm, bu yüzden bu bloğa erişimi açtım (i .. 10.100.20.0/24). Bir / 16 hatta bir / 8 kullanmak zorunda kalsanız bile, hala çoğu internet erişimini engelliyorsunuz. - Johnny


Cevaplar:


# 3 ile devam et. Bunu çalıştırabileceğiniz küçük bir betik yazmanın önemsiz:

  1. Mevcut herkese açık IP'nizi getir
  2. Güvenlik grubunuzu güncellemek için bu IP'yi ve awscli'yi kullanın

Bu komut dosyasını masaüstünüze yapıştırın ve SG'nizi güncellemekten iki tık uzaktasınız. Ya da daha iyisi, saatte cron ile çalıştırın.


11
2017-10-30 19:16



Ve bir uçbirimini açtığınız zaman bash profilinize ekleyin - Robbie Averill


Diğer 2 cevap daha güvenli bir çözüm sunarken, SSH'de sadece açık anahtarda parola kullanmanıza izin vermemeniz durumunda seçenek 2'yi öneririm. Ayrıca, herkese açık anahtarlı tüm kullanıcıların, bunları nasıl güvence altına alacaklarını ve yanlışlıkla kendi özel anahtarlarını açıklayıp açıklanmadıklarını anladıklarını bilmelisiniz.

Seçenek 2'nin nedeni:

Bu sunucu yarı verimli bir şey yaparsa, dizüstü bilgisayarınız veya hatta tanı koymak veya düzeltmek için telefonunuzla herhangi bir yerden erişmekten kaynaklanan tepki süresinin azalması güvenlik katmanlarında hafif bir azalma anlamına gelir. Acil bir durumda eve gitmek veya uçmak bile bir anlaşma olabilir. Elbette ki kilometre, takım büyüklüğüne göre değişecektir, ancak sorunuz, ona erişen tek kişi sizsiniz.


7
2017-10-30 20:20





Senin için daha iyi bir çözümüm var, 4 numarayı arayalım:

  1. Koşmak OpenVPN sunucusu senin üstünde EC2
  2. Güvenlik grubunuzu izin verecek şekilde yapılandırın OpenVPN bağlantısı tüm internetden
  3. Ssh'inize yalnızca OpenVPN.

Ssh'inizi her yerden kullanabilirsiniz ve tüm kötü botlar için gizlenecektir. Tabii ki, kendiniz için üreteceğiniz sertifikalarla VPN'ye kendinizi adamalısınız ve özel anahtarlarınızı gerçekten gizli tutmalısınız.


2
2017-10-30 19:27



Ya da sadece SSH ile ortak anahtarını kullanın. OpenVPN kadar güvenli. - Navin
@Navin Önemli nokta, VPN'nin arkasına ssh koymak, olası bir uzlaşmadan önce ihlal edilmesi gereken bir başka güvenlik katmanı eklemektir. - EEAA
OpenVPN sunucusunu ssh sunucusuyla aynı EC2 makinesinde çalıştırıyorsa, ek bir güvenlik katmanı eklemiyorsa, farklı bir güvenlik katmanı ekliyor - eğer birisi OpenVPN'i ihlal ederse, ssh'i ihlal etmek kadar kötü olabilir. Ek bir güvenlik katmanı yapmak için, OpenVPN sunucusunu farklı bir makinede barındırın. - Johnny


Diğer seçenek belki de, "myn1cknamez" diyerek, sudoers'a rastgele bir isimle yeni bir kullanıcı eklemektir. Sonra, opensshd sunucusunda, passoword anahtarını devre dışı bırakır ve root erişimini devre dışı bırakırsınız. Sonra / etc / ssh / sshd_config öğesinin sonunda şunları ekleyin:

Eşleşme Kullanıcı myn1cknamez

PasswordAuthentication evet

Eğer şifrenizi girmek istiyorsanız ..

Veya anahtarınızı bu sanal makinede bu kullanıcı ile değiştirdikten sonra şifrenizi daha az etkinleştirmek için kullanıcıyla bile eşleştirebilirsiniz


-3
2017-10-30 20:35



Neden insanlar cevabımı reddediyor? Eğer yanlış bir meyve suratını söylersen, hiç kimsenin bana bir şey yapıp yapmadığını öğrenirsem nasıl olur? - x86fantini
Bu onun problemini çözmez - makineye giriş yapmasına izin verecek geçerli bir SSH anahtarına sahiptir, şifre kullanmanın bir nedeni yoktur. İhtiyaç duyduğu şey, ISS'sinin SSH istemci makinesine yeni bir IP adresi atarken makineye erişmesine izin vermenin güvenli bir yolunu bulmaktır - dünyanın herhangi bir yerinde SSH ile bağlantı kurabilmek için makineyi açmak istemez. . - Johnny