Yang tidak saya dapatkan adalah bagaimana itu aman atau bisa diterapkan jika alamat IP publik Anda dinamis?
Solusi ini dapat berfungsi jika Anda menemukan IP Anda tidak sering berubah, atau jika Anda hanya perlu akses untuk waktu yang singkat. Itu menambahkan lapisan keamanan tambahan karena SSH tidak terkena lalu lintas di luar CIDR yang Anda berikan.
Jika CIDR tertentu tidak berfungsi, Anda dapat mencoba atau lebih rentang CIDR board yang kemungkinan ISP Anda gunakan, ini masih akan membatasi akses dari sebagian besar Internet, dan itu merupakan kemenangan untuk keamanan.
apa yang terjadi ketika ISP saya mengubah IP publik saya dan saya tidak bisa lagi ssh menjadi contoh saya?
Anda dapat masuk ke Konsol AWS, atau menggunakan CLI untuk memperbarui aturan Grup Keamanan saat itu juga.
Anda bisa menulis skrip yang berinteraksi dengan CLI secara langsung. Ini bisa sesederhana sesuatu yang memeriksa Port 22 rule
IP Anda saat ini dan memperbaruinya jika berbeda. Tentu saja menjalankan skrip seperti itu dapat menimbulkan lebih banyak pertanyaan keamanan itu sendiri :)
Apakah IP firewall adalah cara terbaik untuk mengamankan SSH?
Meskipun bagus untuk membatasi lalu lintas ssh hanya untuk sumber IP tepercaya di mana praktis, hal yang membuat ssh aman adalah penggunaan kunci pribadi dan konfigurasi yang masuk akal.
Barang-barang utama untuk dipertimbangkan:
- Tambahkan frasa sandi ke kunci pribadi SSH Anda
- Nonaktifkan auth kata sandi ke SSH
- Nonaktifkan login root ke SSH
- Audit semua akun pengguna untuk kunci publik SSH
Anda juga bisa melakukan beberapa hal untuk menghilangkan 'noise' yang terkait dengan serangan brute force:
- Jalankan ssh pada port yang lebih tinggi
- Gunakan perangkat lunak seperti fail2ban yang secara dinamis akan mencatat berbagai upaya yang gagal dan memblokir rentang IP untuk periode waktu tertentu