Предоставление доступа SSH от кодового кода - открытие брандмауэра для EC2 восточного побережья IPs

Question

Я пытаюсь реализовать автоматическое развертывание из Codeship с помощью сценария стиля Capistrano, чтобы позволить ему SSH на мои серверы и вытащить из моего репозитория git после того, как мои тесты прошли , Проблема в том, что доступ SSH к серверам ограничен IP-адресом, а Codeship советует вам открыть ваш брандмауэр в диапазоне IP-адресов, используемых AWS для своих экземпляров EC2 на восточном побережье: https://codeship.com/documentation/faq/enabling-access-to-servers/

Однако я не уверен в этом, потому что существует большое количество IP-адресов: https://ip-ranges.amazonaws.com/ip-ranges.json

Моя забота заключается, кроме того, что это утомительный процесс (имеется 43 диапазона IP-адресов для восточного побережья EC2), не лишает ли это цели ограничения IP-адресов, поскольку это сделало бы эту предосторожность бесполезной, если потенциальный злоумышленник должен был использовать экземпляр EC2 восточного побережья?

Answer 1

Предполагая, что ваш экземпляр размещен в том же регионе, что и Codeship (us-east-1), тогда лучше всего настроить группу безопасности EC2 as described here.

Я ценю, что это не так для всех, поэтому, предполагая, что вы используете iptables, я бы предложил аналогичный подход к описанному в CloudFlare's documentation и настроить скрипт bash через crontab, чтобы сохранить текущий ip диапазоны обновляются до тех пор, пока они не изменятся.

Что касается безопасности, поскольку вы открываете порт во всю область AWS, да, есть увеличенная поверхность атаки. Похоже, что вы уже отключили пароль auth, поэтому атаки с грубой силой маловероятны, но разумно сконфигурированная тюрьма fail2ban должна заботиться о большинстве гадостей.