SSH tra istanze EC2 non consentite

9

Sto configurando alcune istanze EC2 in un account AWS condiviso e desidero dare loro accesso reciproco. Allo stesso tempo, voglio vietare l'accesso da altre istanze nell'account.

Ho creato un gruppo di sicurezza e aggiunto l'accesso SSH da "My IP" per il login e funziona bene.

Ora ho bisogno di SSH tra tutte le istanze ma non riesco nemmeno a far parte dello stesso gruppo di sicurezza .

Come lo posso fare?

linux  ssh  amazon-web-services  amazon-ec2  security-groups 
Fer Dah
fonte

Risposte:

11

Quindi stai configurando un cluster su AWS e hai bisogno dell'accesso SSH tra i nodi, giusto? Hai 2 opzioni:

  1. L'ingenuo è aggiungere ogni IP dell'istanza all'elenco Inbound del gruppo di sicurezza, ma ciò significa che sarà necessario aggiornare SG ogni volta che si aggiunge una nuova istanza nel cluster. (Se mai lo fai). Non farlo, l' ho menzionato solo per completezza.

  2. Molto meglio è usare l'ID del gruppo di sicurezza stesso come fonte del traffico .

    È importante capire che SG non è solo un filtro in entrata ma contrassegna anche tutto il traffico in uscita e quindi puoi fare riferimento all'ID SG di origine nello stesso o in altri gruppi di sicurezza.

Dai un'occhiata al gruppo di sicurezza predefinito nel tuo VPC. Molto probabilmente vedrai qualcosa del genere:

gruppo di sicurezza autoreferenziale

Si noti che la regola si riferisce all'ID del gruppo di sicurezza stesso .

Con questa regola tutto ciò che proviene da qualsiasi host membro del tuo gruppo di sicurezza verrà accettato da tutti gli altri membri / istanze del gruppo.

Nel tuo caso potresti voler limitarlo a SSH, ICMP (se hai bisogno di pinglavorare) o qualsiasi altra porta di cui hai bisogno.

Controllare anche la Outbound scheda e assicurarsi che abbia una voce per tutto il traffico a 0.0.0.0/0(a meno che non hai esigenze di sicurezza specifiche), altrimenti le istanze non saranno in grado di avviare tutte le connessioni in uscita. Di default dovrebbe essere lì.

Spero che aiuti :)

MLU
fonte
4

Nella configurazione per il gruppo di sicurezza che si desidera utilizzare per consentire SSH tra le istanze:

  1. Vai alla scheda Inbound
    1. Fai clic su Modifica
    2. Fai clic su Aggiungi regola
    3. Per Tipo selezionare SSH
    4. Per Origine immettere l'ID del gruppo di sicurezza
    5. Salva
  2. Vai alla scheda Oubound
    1. Fai clic su Modifica
    2. Fai clic su Aggiungi regola
    3. Per Tipo selezionare SSH
    4. Per Destinazione immettere l'ID del gruppo di sicurezza
    5. Salva
Jamie Starke
fonte
2

È necessario aggiungere una regola che abilita SSH con l'origine come ID gruppo stesso.

Ad esempio, se il tuo ID del gruppo di sicurezza è sg-12345678, puoi aggiungere una regola proprio in quel gruppo che apre SSH da sg-12345678.

Assicurarsi inoltre che la scheda In uscita abbia una regola per 0.0.0.0/0o almeno di nuovo per SSH, sg-12345678altrimenti il ​​traffico in uscita verrà bloccato. Di default 0.0.0.0/0dovrebbe essere lì.

IPX
fonte
0

consentire l'accesso ssh per il gruppo di sicurezza assegnato a loro.

Mike
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.