ฉันมีอินสแตนซ์ EC2 ที่ทำงานบน AWS VPC (รุ่นฟรี) ซึ่งฉันใช้งานเว็บไซต์อยู่

ฉันยังใช้อินสแตนซ์ RDS MySQL DB สำหรับความต้องการของฐานข้อมูลของฉัน และได้ตั้งค่ากลุ่มความปลอดภัยเพื่ออนุญาตสิ่งต่อไปนี้:

EC2 Security Group - ขาเข้า:

  • อนุญาตให้เข้าถึงทราฟฟิก HTTP ทั้งหมดผ่านพอร์ต 80
  • อนุญาตให้เข้าถึงการรับส่งข้อมูล SSH จาก 2 ที่อยู่ IP ที่ฉันมักจะนั่งผ่านพอร์ต 22
  • อนุญาตให้เข้าถึง MySQL Traffic ทั้งหมดผ่านพอร์ต 3306

EC2 Security Group - ขาออก:

  • อนุญาตให้เข้าถึงการรับส่งข้อมูลทั้งหมดจากพอร์ตทั้งหมด

RDS Security Group - ขาเข้า:

  • อนุญาตให้เข้าถึง MySQL Traffic จากกลุ่มความปลอดภัย EC2 ของฉันผ่านพอร์ต 3306

RDS Security Group - ขาออก:

  • อนุญาตให้เข้าถึงการรับส่งข้อมูลทั้งหมดจากพอร์ตทั้งหมด

โดยปกติ เมื่อฉันนั่งนอก 2 IP ที่ฉันพูดถึงในกลุ่มความปลอดภัย ฉันจะสร้างกฎขาเข้าใหม่ในกลุ่มความปลอดภัยเริ่มต้นของฉันสำหรับอินสแตนซ์ EC2 ซึ่งอนุญาตให้ SSH เข้าถึงผ่านพอร์ต 22 จาก IP ที่ฉันกำลังนั่งอยู่

วันนี้ ฉันไม่สามารถเชื่อมต่อผ่าน SSH กับอินสแตนซ์ EC2 ได้ ด้วยเหตุผลแปลกๆ บางประการ ฉันกำลังพยายามใช้ WiFi สาธารณะในร้านกาแฟที่ฉันนั่งอยู่ ลองใช้วิธีการต่างๆ - PuTTY, Sublime SFTP, Filezilla ณดา.

ฉันต้องการทราบ 2 สิ่งจริงๆ:

  1. ผมทำอะไรผิดหรือเปล่า? จะหลีกเลี่ยงการจัดการกลุ่มความปลอดภัยใน AWS อย่างต่อเนื่องได้อย่างไร
  2. เหตุใดฉันจึงไม่สามารถเชื่อมต่อได้ในขณะนี้

หมายเหตุสำคัญ: อินสแตนซ์ EC2 พร้อมใช้งานแล้ว และสามารถเข้าถึงได้ผ่านพอร์ต 80 ผ่าน HTTP ซึ่งหมายความว่าฉันสามารถไปที่ URL ของไซต์ที่ฉันตั้งค่าไว้ได้ และทุกอย่างก็ดูแย่มาก ล้างแคช - ยังโหลดได้อย่างสมบูรณ์

answer

คุณมีความคิดที่ถูกต้องโดยจำกัดความสามารถในการเข้าถึง ssh ของคุณ - แต่คุณอาจใช้มากเกินไป

คุณสามารถเปิดกฎ SSH ได้ทุกที่ (0.0.0.0) แต่มีข้อ จำกัด บางประการในการรักษาความปลอดภัย

เคล็ดลับดีๆ บางประการในการรักษาความปลอดภัย SSH ของคุณ:

  1. เปลี่ยนพอร์ต SSH เริ่มต้น - การดำเนินการนี้จะกำจัดบอทสแกนเนอร์ทั้งหมดที่เดินด้อม ๆ มองๆ อินเทอร์เน็ตบนพอร์ต 22 นี่ไม่ใช่มาตรการรักษาความปลอดภัย แต่เป็นเพียงเครื่องมือในการลดการใช้สแกนเนอร์ในทางที่ผิด
  2. อนุญาตเฉพาะการพิสูจน์ตัวตนด้วยกุญแจสาธารณะ - สิ่งนี้จะฆ่าความพยายามที่ดุร้ายตั้งแต่แรก
  3. เพิ่มการยืนยันแบบ 2 ขั้นตอน - ในกรณีที่คุณต้องการเชื่อมต่อจากคอมพิวเตอร์ "แขก" โดยที่คุณไม่มีคีย์ส่วนตัว ต้องใช้รหัสเพิ่มเติมสำหรับผู้ใช้ที่เปิดใช้งานรหัสผ่าน

นี่จะเป็นการเริ่มต้นที่ดีที่จะกำจัดภัยคุกคามพื้นฐานต่อ SSH ของคุณ ในขณะที่อนุญาตให้ใช้งานได้อย่างเหมาะสม