设置 ec2 以仅允许使用来自自定义 ip 的公钥和数据库连接进行 ssh 连接答案

【问题标题】：Setup ec2 to allow ssh connections only with the public key and database connections from custom ip设置 ec2 以仅允许使用来自自定义 ip 的公钥和数据库连接进行 ssh 连接
【发布时间】：2014-05-29 00:09:38
【问题描述】：

首先，以上是个好主意吗？如果使用另一种方法在安全级别相同的情况下，这会不会是矫枉过正？

你会怎么做呢？另一种方法是从一台机器到数据库服务器的 ssh 隧道，但我不确定入站机器是否会出现性能问题，需要持续连接才能从数据库服务器查询数据。

我现在可以使用公钥从任何机器 ssh 进入实例。

我还可以使用 ssh 隧道连接到此实例上的 Postgresql 数据库。

【问题讨论】：

标签： ruby-on-rails security ssh amazon-ec2 postgresql-9.1

【解决方案1】：

你能解释一下你想要做什么吗？根据您提供的信息，我必须做出很多假设。

处理数据库服务器时的一些一般建议是限制 ip 和连接到数据库的用户的访问。仅当您在客户端上有静态 IP 或您可以使用的已知 IP 范围时，这才有可能。我不确定这两种情况是否适用于您。如果您使用的是 amazon EC2 VPC，您可以将您的客户端设置为具有静态私有 ip，并且只允许从该 ip 访问数据库。

请记住，SSH 与访问数据库不同。您仍然需要在数据库服务器和客户端实例上为您（希望只有您自己）打开端口 22，以便您可以登录和管理这些服务器。

就像我之前说的，你对你想做的事情的解释越多，别人就能更好地帮助你。

【讨论】：

我想我想要的是，能够从一组受限 IP 地址连接到数据库服务器，而无需使用 ssh 隧道。
我在linode上有一个api服务器，我想将它连接到ec2数据库服务器。同时，我希望能够从几台不同的机器上 ssh 到 ec2 数据库服务器，这些机器可能有也可能没有静态 IP。
根据您提供的信息，您需要在数据库服务器的安全组上允许以下端口。允许来自 api 服务器的端口 5432 允许 0.0.0.0/0 的端口 22 虽然允许所有主机使用端口 22 (SSH) 通常是一种不好的做法，但它们仍然需要您的 SSH 私钥才能登录主机。根据您的其他机器所在的位置，还有一些其他选项。他们都在办公室的同一个网络上吗？它们在 EC2 内部吗？如果没有，您可能只能为所有人打开 22 条，或者随着地址的变化不断添加和删除规则。
是的，这似乎有点尴尬，我在support.cloud.engineyard.com/entries/… 找到了可以让我这样做的东西。但我会考虑回答这个问题