Ce que je ne comprends pas, c'est comment c'est sécurisé ou réalisable si votre adresse IP publique est dynamique?
Cette solution pourrait fonctionner si vous trouvez que votre adresse IP ne change pas souvent ou si vous n'avez besoin que d'un accès pour une courte période. Il ajoute une couche de sécurité supplémentaire car SSH n'est pas exposé au trafic en dehors du CIDR que vous fournissez.
Si un CIDR spécifique ne fonctionne pas, vous pouvez essayer une ou plusieurs plages de CIDR embarquées que votre FAI est susceptible d'utiliser, cela limitera toujours l'accès à partir d'un grand pourcentage d'Internet, et c'est une victoire pour la sécurité.
que se passe-t-il lorsque mon FAI change mon adresse IP publique et que je ne peux plus envoyer de ssh dans mon instance?
Vous pouvez vous connecter à la console AWS ou utiliser la CLI pour mettre à jour la règle du groupe de sécurité à la volée.
Vous pouvez écrire un script qui interagit directement avec la CLI. Cela peut être aussi simple que quelque chose qui vérifie la valeur par Port 22 rule
rapport à votre adresse IP actuelle et la met à jour si elle est différente. Bien sûr, l'exécution d'un tel script peut poser davantage de questions de sécurité :)
Un pare-feu IP est-il le meilleur moyen de sécuriser SSH?
Bien qu'il soit agréable de limiter le trafic ssh aux seules sources IP de confiance lorsque cela est possible, la chose qui sécurise ssh est l'utilisation de clés privées et d'une configuration sensible.
Éléments clés à considérer:
- Ajoutez une phrase secrète à votre clé privée SSH
- Désactiver l'authentification par mot de passe sur SSH
- Désactiver la connexion root à SSH
- Auditer tous les comptes d'utilisateurs pour les clés publiques SSH
Vous pouvez également faire quelques choses pour vous débarrasser du «bruit» associé aux attaques par force brute:
- Exécutez ssh sur un port supérieur
- Utilisez un logiciel comme fail2ban qui enregistrera dynamiquement de nombreuses tentatives échouées et bloquera les plages d'adresses IP pendant des périodes spécifiées
Vous pouvez ajouter une plage CIDR au groupe de sécurité qui représente le sur-ensemble de toutes les adresses IP que votre FAI peut vous attribuer.
Soit cela, soit utilisez l'API AWS pour mettre à jour dynamiquement votre groupe de sécurité.
la source
Il existe quelques solutions plus récentes à cette question plus ancienne:
Depuis AWS: comment mettre à jour automatiquement vos groupes de sécurité pour Amazon CloudFront et AWS WAF à l'aide d'AWS Lambda
Mise à jour à distance à partir de la source dynamique (script node.js): script de noeud aws-ec2-ssh-secgroup-update
Mise à jour à distance à partir de la source dynamique (script Python): ajoutez automatiquement l'IP publique actuelle au groupe de sécurité pour autoriser le trafic sur un port spécifique
la source
Vous pouvez utiliser la commande aws_ipadd pour mettre à jour et gérer facilement les règles du groupe de sécurité AWS et mettre en liste blanche votre adresse IP publique avec le port chaque fois qu'il est modifié.
la source