允許從codeship的SSH訪問 - 打開防火牆到EC2東海岸IP

Question

我想通過使用Capistrano樣式腳本來實現Codeship的自動部署，以允許它SSH到我的服務器上，並在我的測試通過後從我的git存儲庫中拉出來。問題是SSH對服務器的訪問受到IP地址的限制，並且Codeship建議您應該將防火牆開放到AWS用於東岸EC2實例的IP地址範圍內：https://codeship.com/documentation/faq/enabling-access-to-servers/

但是，我不知道這樣做是因爲有大量的IP地址：https://ip-ranges.amazonaws.com/ip-ranges.json

我擔心的是，除了這是一個繁瑣的過程（有43個IP地址範圍爲東海岸EC2），這難道不是打敗目的限制IP地址，因爲如果潛在的攻擊者使用東海岸EC2實例，它會使這種防範措施變得毫無用處？

Answer 1

假設您的實例託管在與Codeship（us-east-1）相同的區域內，那麼您最好的選擇是設置一個EC2安全組as described here。

我明白，這不是每個人的情況，所以假設你使用iptables，那麼我會建議類似於CloudFlare's documentation中描述的方法，並設置一個通過crontab運行的bash腳本來保持當前IP範圍最新，如果他們改變。

關於安全性，由於您打開了整個AWS區域的端口，因此會增加攻擊面。聽起來好像你已經禁用了密碼認證，所以不太可能進行暴力攻擊，但是一個明智配置的fail2ban監獄應該處理大部分危險。