在 AWS 上parallelcluster 博客他们建议在 parallelcluster 配置中使用 ssh_from:
默认情况下,我们将允许来自任何源 IP(0.0.0.0/0)的 SSH 入站,而我想将其限制为仅我的 IP 地址。我建议您通过添加您的 IP 地址或受信任的 CIDR 块(例如 10.10.0.0/16)来执行类似操作。
但是,我仍然需要使用密钥对来访问我的头节点,那么 ssh_from 是否必要?它提供了什么额外的好处?
答案1
安全性是层层构建的。
通过将 SSH 限制在您的系统上,可以减少需要保护的表面积 -
如果攻击者甚至看不到 SSH,则意味着他们无法攻击它。这可以防止浪费资源应答和无法协商加密连接,并减轻 SSH 中的潜在缺陷和密钥泄露。
如果您愿意将所有这些风险放在一边,那么您可以向世界开放 SSH - 但这不是最佳做法。