ไม่อนุญาตให้ใช้ SSH ระหว่าง EC2 อินสแตนซ์

9

ฉันกำลังตั้งค่าอินสแตนซ์ EC2 บางอย่างในบัญชี AWS ที่ใช้ร่วมกันและต้องการให้พวกเขาเข้าถึงซึ่งกันและกัน ในเวลาเดียวกันฉันต้องการห้ามการเข้าถึงจากอินสแตนซ์อื่นในบัญชี

ฉันสร้างกลุ่มความปลอดภัยและเพิ่มการเข้าถึง SSH จาก "IP ของฉัน" สำหรับการเข้าสู่ระบบและทำงานได้ดี

ตอนนี้ฉันต้อง SSH ระหว่างทุกกรณี แต่ฉันไม่สามารถแม้พวกเขาทั้งหมดในกลุ่มรักษาความปลอดภัยเดียวกัน

ฉันจะทำสิ่งนั้นได้อย่างไร

linux  ssh  amazon-web-services  amazon-ec2  security-groups 
เฟอร์ดาห์
แหล่งที่มา

คำตอบ:

11

ดังนั้นคุณกำลังตั้งค่าคลัสเตอร์บน AWS และต้องการการเข้าถึง SSH ระหว่างโหนดถูกต้องหรือไม่ คุณมี 2 ตัวเลือก:

  1. สิ่งที่ไร้เดียงสาคือการเพิ่ม IP แต่ละอินสแตนซ์ในรายการ Security Group Inbound แต่นั่นหมายความว่าคุณจะต้องอัปเดต SG ทุกครั้งที่คุณเพิ่มอินสแตนซ์ใหม่ในคลัสเตอร์ (ถ้าคุณเคยทำ) อย่าทำอย่างนี้ฉันพูดถึงมันเพื่อความสมบูรณ์เท่านั้น

  2. ที่ดีกว่าคือการใช้กลุ่มรักษาความปลอดภัย IDตัวเองเป็นแหล่งที่มาของการจราจร

    สิ่งสำคัญคือต้องเข้าใจว่า SG ไม่เพียง แต่เป็นตัวกรองขาเข้าเท่านั้น แต่ยังติดแท็กทราฟฟิกขาออกทั้งหมด- และคุณสามารถอ้างอิง SG ID ต้นทางในกลุ่มความปลอดภัยเดียวกันหรือกลุ่มอื่น ๆ

ดูที่กลุ่มความปลอดภัยเริ่มต้นใน VPC ของคุณ คุณมักจะเห็นสิ่งนี้:

กลุ่มความปลอดภัยอ้างอิงตนเอง

โปรดทราบว่ากฎหมายถึงกลุ่มรักษาความปลอดภัยประจำตัวประชาชน ตัวเอง

ด้วยกฎนี้ทุกสิ่งที่มาจากโฮสต์ใด ๆ ที่เป็นสมาชิกของกลุ่มความปลอดภัยของคุณจะได้รับการยอมรับจากสมาชิก / อินสแตนซ์ทั้งหมดในกลุ่ม

ในกรณีของคุณคุณอาจต้องการ จำกัด SSH, ICMP (ถ้าคุณต้องการpingทำงาน) หรือพอร์ตอื่น ๆ ที่คุณต้องการ

ตรวจสอบแท็บขาออกและตรวจสอบให้แน่ใจว่ามีรายการสำหรับการรับส่งข้อมูลทั้งหมดไปที่0.0.0.0/0(เว้นแต่ว่าคุณมีความต้องการด้านความปลอดภัยที่เฉพาะเจาะจง) มิฉะนั้นอินสแตนซ์จะไม่สามารถเริ่มการเชื่อมต่อขาออกได้ โดยค่าเริ่มต้นมันควรจะมี

หวังว่าจะช่วย :)

MLU
แหล่งที่มา
4

ในการกำหนดค่าสำหรับกลุ่มความปลอดภัยของคุณคุณต้องการใช้เพื่ออนุญาต SSH ระหว่างอินสแตนซ์:

  1. ไปที่แท็บ ขาเข้า
    1. คลิกแก้ไข
    2. คลิกเพิ่มกฎ
    3. สำหรับTypeให้เลือกSSH
    4. สำหรับSource ให้ป้อน ID กลุ่มความปลอดภัย
    5. บันทึก
  2. ไปที่แท็บ Oubound
    1. คลิกแก้ไข
    2. คลิกเพิ่มกฎ
    3. สำหรับTypeให้เลือกSSH
    4. สำหรับDestination ให้ป้อน ID กลุ่มความปลอดภัย
    5. บันทึก
เจมี่สตาร์ก
แหล่งที่มา
2

คุณควรเพิ่มกฎที่เปิดใช้งาน SSH ด้วยแหล่งที่มาเป็นรหัสกลุ่มเอง

เช่นถ้าการรักษาความปลอดภัยกลุ่ม ID ของคุณคือsg-12345678คุณสามารถเพิ่มกฎในการที่กลุ่มมากที่เปิดSSHsg-12345678จาก

ตรวจสอบให้แน่ใจด้วยว่าแท็บขาออกมีกฎสำหรับ0.0.0.0/0หรืออย่างน้อยอีกครั้งสำหรับ SSH เพื่อsg-12345678มิฉะนั้นปริมาณข้อมูลขาออกจะถูกบล็อก โดยค่าเริ่มต้น0.0.0.0/0ควรจะมี

IPX
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.