Вопросы Теги

Получение безопасного доступа к вычислительному серверу [закрыто]

Заявление об ограничении ответственности: я не системный администратор, поэтому могу говорить глупости / полагаться на неверные предположения. Не стесняйтесь поправлять меня.

Я работаю в стартапе, и некоторое время назад мы купили сервер для внутреннего пользования для работы. Теперь работа окончена, и мы хотели бы использовать ее как «вычислительную рабочую лошадку». Сервер может запускать виртуальные машины, и мы можем управлять ими через VMWare vSphere. Я хотел бы получить безопасный доступ к экземпляру linux vm (debian) через ssh.

Мой первый подход заключался бы в том, чтобы просто поддерживать экземпляр виртуальной машины debian в рабочем состоянии, настроить ssh и аутентификацию с моими ключами RSA и переадресацию порта 22 на любой внешний IP-адрес в Интернете (через корпоративный маршрутизатор с брандмауэром).

Это небезопасно?

Обратите внимание, что в описанном выше сценарии нет VPN.

0
задан 9 July 2016 в 18:38
1 ответ

Это может быть безопасно

Это зависит от вашей безопасности требования и уровень риска, на который вы готовы пойти.

Вот некоторые соображения / идеи.

  • SSH довольно безопасен, особенно при принудительной аутентификации по ключу. Сети постоянно обеспечивают удаленный доступ через VPN. SSH не сильно отличается.
  • Пароль для шифрования ваших ключей SSH
  • Включить автоматические обновления безопасности
  • Вам нужно подумать об остальной части вашей сети. Сервер Debian может предоставить злоумышленнику доступ к другим сетевым ресурсам в случае его взлома. Если вас это беспокоит, подумайте о его усилении.
  • Возможно, ограничьте ресурсы виртуальных машин таким образом, чтобы они не мешали гипервизору или другим виртуальным машинам.
  • Если виртуальная машина имеет ограничения (DMZ или что-то еще) или нет LAN / доступ к сети, было бы намного безопаснее. Рассмотрите возможность использования нескольких уровней брандмауэра, включая брандмауэр на самой виртуальной машине.
  • Если виртуальная машина не содержит конфиденциальной информации или важных служб, это будет безопаснее.
  • Возможно, не используйте одни и те же ключи или пароли для внутренний материал или другие серверы, кроме этой виртуальной машины.
  • Настройте что-нибудь для отслеживания журналов на предмет несанкционированных входов в систему и / или других проблем.
  • Запустите ssh на порту, отличном от 22, чтобы люди не сочли это таким быстро / легко / вообще.
  • Ограничьте входящий трафик через брандмауэр, если это возможно (действительно безопасно, например, если у вас есть статические IP-адреса для подключения).
  • Иногда люди / боты забивают ваш сервер, пытаясь получить доступ. Есть способы ограничить скорость или запретить эти соединения. Ваш брандмауэр может даже помочь с этим.

fail2ban ssh

https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14 -04

1
ответ дан 4 December 2019 в 16:34

Теги

Похожие вопросы