每当在GCP中创建一个项目时,都会有一个默认的防火墙规则:“ default-allow-ssh”,它允许在端口22上使用0.0.0.0/0,这使得通过外部ip轻松将ssh插入计算机。从浏览器。但这使互联网上的任何计算机都可以在端口22上访问我的计算机,并且僵尸程序一直在尝试访问他们能找到的任何内容。我想他们仍然需要破解密码或ssh-key或其他东西,但这不是很危险的默认设置规则吗?当您使用external-ip启动新计算机时,实际上并没有任何警告,我希望GCP的方法更加严格。 如果有人可以帮助我澄清这一点,将不胜感激。 而且,如果我删除了此默认规则,但仍然想通过ssh访问我的机器,哪种方法既简单又安全?
答案 0 :(得分:3)
如果没有此规则,当您尝试使用gcloud命令行工具进行SSH时,该请求将立即被拒绝,因此,对于计算引擎而言,此处选择的AFAIK进行了优化,以简化GCE入门。
我还认为默认情况下禁用密码身份验证,因此任何攻击者都有两种进入途径:
我认为,考虑到当今的技术,第一个是遥不可及的。如果这足够容易,那么我们在世界上将面临更大的问题。
如果您没有定期由Google Cloud Platform部署自动安全补丁程序,第二个问题似乎令人担心。是的,这仍然容易受到0天攻击的影响,但是考虑到Google的安全团队是发现流行项目中最近几个安全漏洞的人(例如,我很确定Heartbleed是由以下人员发现,修补和披露的): Google),如果所有GCE VM使用的SSH代理中存在安全漏洞,则Google修补补丁的速度可能会比其他任何人都要快。
也就是说,如果您真的不喜欢此规则,我很确定您可以进入并更改该规则的定义,以便默认情况下所有虚拟机仅允许某些特定的IP或子网列表。