IPホワイトリストが無効になっている場合、SSH公開鍵認証はサーバーを保護するのに十分ですか?
現在、AWSでサーバーを管理している新興企業で働いています。現在、私たちのサーバーは、SSH経由でアクセスするために、ホワイトリストのIP(AWSで設定)に接続し、接続するための有効なRSAキーを持っている必要があるように設定されています。
ただし、現在取り組んでいる開発者は日々変化する動的IPを使用しているため、ホワイトリストの維持に時間がかかります(異なるタイムゾーン、通信など)。
この開発者と一緒に作業しているときにホワイトリストを削除することは、短期的にどの程度のセキュリティリスクになりますか?
注:サーバーには現在、本当に機密性の高いデータは含まれていません(独自のコードのみ)。ただし、近い将来には含まれます。
この開発者と一緒に作業しているときにホワイトリストを削除することは、短期的にどのくらいのセキュリティリスクですか?
あなたや他の開発者が鍵を保護し(暗号化されたファイルを保存し、ハードドライブを暗号化している)、SSHサーバーでパスワード認証が無効になっている場合は、ほとんどありません。
パスワード認証を無効にした場合、誰かが秘密鍵を漏らさない限り(誰かのコンピューターが何らかのウイルス/マルウェアに感染しているか、暗号化されていない鍵/ハードドライブで盗まれている場合を除き)、推測する公開鍵(および秘密鍵)を使用した標的型攻撃は意味をなしません。
from="pattern-list"ファイルの公開鍵の前にauthorized_keysを付加することにより、特定のIPからのみアクセスできるように少なくとも他の開発者鍵を設定できることに注意してください。パターンも含めることができるため、「動的」開発者向けのマスクも作成できます。
適切に設定され、強力なキーを使用している限り、リスクは非常に低くなります。
SSHキー認証は、インターネットに公開されているSSHサーバーを保護するのに十分です。
Fail2banを使用すること、およびSSH接続を制限するようにファイアウォールを構成することもお勧めします。
ufw limit 22 UFWとポート22を使用している場合。
IPホワイトリストは追加の強化です。おそらく、開発者のISPが割り当てるIPの範囲を見つけて、その範囲全体をホワイトリストに登録できますか?