使用 Ansible,我应该通过 IP 限制 SSH 连接吗?

使用 Ansible,我应该通过 IP 限制 SSH 连接吗?

我熟悉 Ansible 的安全连接标准最佳实践(禁用主机的 root 访问权限并配置基于密钥的 SSH 身份验证)。我是否还应该使用 hosts.allow 或 iptables 来阻止主机接受不是来自控制节点 IP 地址的连接?这对我来说似乎合乎逻辑,但我没有看到任何人这样做,所以我认为我忽略了一些显而易见的东西。

答案1

如果可以的话,限制对您公开的任何网络服务的访问总是一个好主意。

设置 SSH 的 ACL 时请考虑以下事项:

  • 通常不仅 Ansible 使用 ssh 登录,普通用户和/或管理员也经常通过 ssh 登录或使用 scp 复制数据。

  • SSH 不仅可以在 IP 级别进行保护,还可以在应用程序级别配置更细粒度的安全性:

    • 指令Matchsshd_config覆盖配置文件中设置的全局设置,并可用于在满足某些条件时添加/设置或解除限制(例如 Ansible 用户登录)
    • 经常被忽视的选项可以添加到~/.ssh/authorized_keys文件中,以对使用特定 ssh 密钥登录添加限制。请参阅AUTHORIZED_KEYS 文件格式请参阅手册中的部分内容。

相关内容