Ich habe Probleme mit Sicherheitsgruppen in AWS. Ich würde gerne eine einzelne SG einrichten, die ich in allen meinen EC2-Instanzen verwenden würde, um SSH-Verkehr zuzulassen (ich hätte andere SGs für andere Rollen, die je nach Bedarf bereitgestellt werden). Ich sehe jedoch keinen Grund, diese SSH-Gruppe für die ganze Welt zu öffnen.Ich möchte den Zugriff vorerst nur auf die USA beschränken. Ist das machbar?
Antwort1
Es ist machbar mitpam_geoip
In /etc/security/geoip.conf:
* sshd allow US
* sshd ignore UNKNOWN
* sshd deny *
Antwort2
Theoretisch möglich, aber wahrscheinlich nicht das, was Sie tun möchten.
Ich könnte beispielsweise einen kostenlosen VPN-Dienst nutzen, der mir eine IP-Adresse in den USA zuweist, obwohl ich in London bin.
Eine bessere Lösung wäre ein SSH-Schlüssel, das Deaktivieren kennwortbasierter Anmeldungen und die Berücksichtigung einer Zwei-Faktor-Authentifizierung.
Ich verstehe nicht, warum Sie den Zugriff auf die Netzblöcke eines ganzen Landes erlauben wollen, wenn dies nur einen sehr geringen Schutz bietet (durch Unklarheit).