перенаправление портов ssh / угроза безопасности
Я добавляю или перезаписываю?
Если бы это собирается записать на ленту позже, я перезаписал бы, иначе выбирают приемлемое на дисковом периоде времени для резервных копий, чтобы истечь (на основе Вашего времени восстановления) и добавить.
Я устанавливаю ежедневные резервные копии для истечения? [Rackspace делает ежедневный дифференциал и еженедельно полный, я верю также]
Да, если дисковое пространство не является проблемой
Я должен скопировать журнал транзакций?
Да так часто, как Вы требуете для восстановления момента времени. например, если в Вашем SLA говорится, что Вы только потеряете 15 минут данных в случае отказа, которого необходимо создать резервную копию, сделка регистрируют каждые 15 минут.
Я должен уменьшить журнал транзакций?
Нет - если Вы так или иначе не позволили ему вырасти до ginormous размера однажды и это никогда не использует больше чем 1% теперь, и Вы испытываете нехватку дискового пространства, затем возможно,
Совместно используйте некоторое понимание, лучшие практики. Они значительно ценились бы
Необходимо работать с бизнесом для определения, какие данные они ожидают терять в случае проблемы и сколько времени затем позволит DB быть недоступным. После того как у Вас есть соглашения по тем на месте, остальное становится математическим осуществлением. В Вашем примере Вы упоминаете, что делаете 3 fulls в день. Необходимо узнать, является ли это просто someones выстрелом в темноте или если существует причина, которая это 3 в день (возможно, из-за времен восстановления incrementals, не возможны),
Обратите внимание, что только после того, как Вы получаете бизнес-требования, может Вы планировать свое восстановление. Молитва "плана, Ваше восстановление" так злоупотребляется, что многие администраторы на самом деле полагают, что и просто делают те же типы ошибок, которые они сделали бы, если бы они просто волновались о резервных копиях.
Я думаю, что это - довольно безопасная установка, я использую ее сам. Необходимо будет добавить '-L' к команде:
ssh -N -L 8888:targethost:80
Пока Вы не используете '-g' опция, только Ваша клиентская машина может получить доступ к порту вперед.
Что я рекомендовал бы, также должен заставить sshd на хосте оплота послушать на нестандартном порте. Если Вы слушаете на стандартном порте, трафик атаки иногда может съедать значительные суммы ЦП.
Также выберите хороший пароль для своего ssh ключа и введите его только в доверяемые машины. Предпочтительно Linux, это менее тривиально для установки клавиатурных перехватчиков на Linux.
Я не думаю, что это - обязательно плохая идея. Помещенный SSH на порте кроме 22 и Вы сделаете это немного более неясным, чтобы деточки сценария нашли, и если бы Вы тестируете от портативного компьютера внешне, я зашифровал бы вещи на диске поэтому, если это украсть/потерять/и т.д., Вы не должны волноваться о поставленных под угрозу данных. Иначе туннели должны помочь сохранить вещи, являющиеся прерванными между хостом оплота и ноутбуком на общественности webbertubes.
-
1
-
2@warner: при прочих равных условиях выполнение ssh на другом порте не создает угрозу безопасности. Принятие Вас все еще принимает другие соответствующие меры безопасности, Вы взяли бы так или иначе меня don' t видят, как это - проблема. – einstiien 6 April 2010 в 19:25
-
3Это не создает дополнительный риск, но это - все еще случайное решение. Клудж в лучшем случае Если Вы хотите минимизировать место, используйте пакетную фильтрацию. – Warner 6 April 2010 в 19:37
-
4@einstiien: You' право ре, пока Вы выбираете порт < 1024. Также рассмотрите использование порта, стучащего вместо этого. – Chris Lercher 6 April 2010 в 19:39
-
5Я никогда не реализовывал стук порта, но он действительно добавляет дополнительный уровень безопасности, который мог бы стоить того. – Prof. Moriarty 6 April 2010 в 19:54
Stunnel мог быть хорошей альтернативой. Вам не была бы нужна учетная запись на машине, и можно все еще аутентифицировать клиент с сертификатом.
Вы предложили довольно безопасное решение. Дополнительные шаги по усилению безопасности для открытого хоста:
- Разрешить входящий трафик только службам, которые вам известны (разрешить только inbound tcp 22)
- Включите автоматические обновления безопасности с помощью unattended-updates или yum-cron (обновите файлы конфигурации, чтобы эти службы фактически применяли обновления по мере их выхода)
- Не передавайте свой закрытый ключ через небезопасные средства, такие как электронная почта или слабина
- Внедрите fai2ban, чтобы боты, сканирующие весь Интернет, перестали стучать в дверь (или еще лучше создать белый список брандмауэра для IP-адресов доверенного источника)
- Ваше предложение разрешить переадресацию портов только путем установки для оболочки параметра / bin / false или / sbin / nologin - отличный общий совет для настройки хостов-бастионов, но он затрудняет удаленное администрирование машины и может быть излишним для вашего варианта использования.
ssh -N -L 127.0.0.1:8888:targethost:80(указывающий, что локальный слушатель должен связать с localhost, а не glomming всего Вашего дюйм/с). Это предотвращает кого-то в Вашей локальной сети от спотыкания на порте 8888 на Вашей рабочей станции и выполнении Плохих Вещей. – voretaq7 6 April 2010 в 18:56