我正在尋找關於我認為 EC2 安全組的潛在問題的說明。

我正在設置一個安全組來連接到 linux 實例。我為 HTTP 和 HTTPS 訪問創建了“任何地方”規則。

對於我的 SSH 規則，亞馬遜教程說我應該限制對我的公共 IP 地址的入站訪問。

1. 我不明白的是，如果您的公共 IP 地址是動態的，那它是如何安全或可行的？
2. 我的 IP 地址是動態的，那麼當我的 ISP 更改我的公共 IP 並且我不能再通過 ssh 進入我的實例時會發生什麼？

連結到我正在使用的設置指南：http: //docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html（“創建安全組”的第 7 步’ 對我來說似乎有問題）

我不明白的是，如果您的公共 IP 地址是動態的，那它是如何安全或可行的？

如果您發現您的 IP 不經常更改，或者您只需要短時間內訪問，則此解決方案可能會起作用。它增加了額外的安全層，因為 SSH 不會暴露於您提供的 CIDR 之外的流量。

如果某個特定的 CIDR 不起作用，您可以嘗試使用您的 ISP 可能使用的或更多的板載 CIDR 範圍，這仍然會限制大部分 Internet 的訪問，這是安全性的勝利。

當我的 ISP 更改我的公共 IP 並且我不能再通過 ssh 進入我的實例時會發生什麼？

您可以登錄 AWS 控制台，或使用 CLI 即時更新安全組規則。

您可以編寫一個直接與 CLI 互動的腳本。它可以像檢查Port 22 rule目前 IP 並在不同時更新它一樣簡單。當然，執行這樣的腳本本身可能會引發更多的安全問題 :)

IP 防火牆是保護 SSH 的最佳方式嗎？

雖然在可行的情況下將 ssh 流量限制為僅受信任的 IP 源是很好的，但使 ssh 安全的是使用私鑰和合理的配置。

需要考慮的關鍵項目：

• 為您的 SSH 私鑰添加密碼
• 禁用對 SSH 的密碼驗證
• 禁用 root 登錄到 SSH
• 審核所有使用者帳戶的 SSH 公鑰

您還可以做一些事情來消除與蠻力攻擊相關的“噪音”：

• 在更高的埠上執行 ssh
• 使用fail2ban之類的軟體，它將動態記錄許多失敗的嘗試並在指定的時間段內阻止IP範圍

引用自：https://serverfault.com/questions/702424