What I don't get is how that's secure or workable if your public IP address is dynamic?
Esta solução pode funcionar se você descobrir que o seu IP não muda com frequência ou se você precisa apenas de acesso por um curto período de tempo. Ele adiciona uma camada extra de segurança, pois o SSH não está exposto ao tráfego fora do CIDR que você fornece.
Se um CIDR específico não funcionar, você pode experimentar ou mais intervalos de CIDR de placa que seu ISP provavelmente usará, isso ainda limitará o acesso de uma grande porcentagem da Internet, e isso é uma garantia de segurança. / p>
what happens when my ISP changes my public IP and I can no longer ssh into my instance?
Você pode fazer login no AWS Console ou usar a CLI para atualizar a regra do Grupo de segurança imediatamente.
Você pode escrever um script que interaja diretamente com a CLI. Pode ser tão simples quanto algo que verifica o Port 22 rule
em relação ao seu IP atual e o atualiza se for diferente. Claro que rodar um script como esse pode levantar mais questões de segurança:)
Um firewall IP é a melhor maneira de proteger o SSH?
Embora seja bom limitar o tráfego ssh apenas a fontes de IP confiáveis onde for prático, o que torna o ssh seguro é o uso de chaves privadas e configurações sensatas.
Principais itens a serem considerados:
- Adicione uma frase secreta à sua chave privada SSH
- Desativar senha auth para SSH
- Desativar login raiz para SSH
- Auditar todas as contas de usuário para chaves públicas SSH
Você também pode fazer algumas coisas para se livrar do "ruído" associado a ataques de força bruta:
- Executa o ssh em uma porta superior
- Use software como o fail2ban, que registra dinamicamente várias tentativas com falha e bloqueia intervalos de IP por períodos de tempo especificados