Создание сервера Linux, доступного только доверяемыми полями
Одна вещь, которую Вы могли бы рассмотреть, особенно при выполнении Windows Server 2008 устанавливает Hyper-V и только виртуализирует "дополнительные" службы Windows. Вы могли установить SQL Server на самой ОС, получив полную производительность непосредственно на аппаратных средствах и затем работать, Ваши "легкие" сервисы в изолированном VMs внутри Гиперпротив оборотной стороны вот то, что Вам будут нужны несколько лицензий, если Вы выполните Стандарт Windows Server, или необходимо будет купить Windows Server Enterprise.
Можно использовать iptables для блокирования всего кроме SSH.
Сервис SSH (sshd) может быть настроен, чтобы потребовать основанных на ключе логинов и не позволить основанные на пароле логины. Вы могли генерировать пары ключей RSA на сервере для каждого пользователя и дать пользователю копию сгенерированного закрытого ключа после установки открытого ключа в их ~user/.ssh/authorized_keys файле.
Авторизованные пользователи могут затем использовать SSH, туннелирующий для Samba и сервисов HTTP (и использовать SFTP вместо FTP),
Можно отменить/запретить доступ путем переименования ~user/.ssh/authorized_keys
Я не совсем уверен, как Вы управляли бы, в конце сервера, неожиданном другом использовании туннеля. Но возможно это не проблема - пока доверяемый пользователь защищает их закрытый ключ, никакой недоверяемый пользователь не может получить доступ к серверу.
Существует несколько различных способов выполнить эту задачу, в зависимости от того, сколько работы Вы хотите поместить в это и какой уровень паранойи Вы хотите иметь.
- Физические сети: можно настроить частный VLAN, где B и A имеют соединение и имеют услуги B, только слушают в той конкретной сети. Это является не обязательно самым гибким, начиная с любого хоста Вы хотите получить доступ к услугам B, должен был бы также быть соединен проводом в тот VLAN.
- Оболочки tcp: Являются намного менее суетливыми, чем выполнение этого в iptables и порядке величины, легче диагностировать.
- IPtables: используемый в сочетании с физическими сетями, было бы довольно трудно, и можно перейти по ссылке Zypher для этого.
Вы - лучший выбор и самый простой способ сделать, это должно было бы использовать iptables.
позвольте серверу IP B быть 192.168.1.20
На Сервере A создают цепочку как:
iptables -A INPUT -m tcp -p tcp -s 192.168.1.20/32 --dport 80 -j ACCEPT
iptables -A INPUT -m tcp -p tcp -s 192.168.1.20/32 --dport 21 -j ACCEPT
iptables -A INPUT -m tcp -p tcp -s 192.168.1.20/32 --dport 389 -j ACCEPT
...
iptables -A INPUT -m state --state RELATED,ESTABLISHED --j ACCEPT
iptables -A INPUT -j DROP
Это в основном говорит брандмауэру позволять переднюю сторону соединений он один IP на определенных портах, а также их связанный трафик. для ftp необходимо будет установить ftp_contrak модуль также.
Некоторая iptables документация для запущения Вас.
РЕДАКТИРОВАНИЯ РЕ:
В примере случая Вы дали, я просто завершу работу порта и не иметь его, подходят на начальной загрузке. Когда необходимо будет сделать обслуживание, включите порт. Также, если у Вашего сотрудника есть физический доступ и злонамеренные намерения, хорошо сетевое соединение является наименьшим количеством Ваших забот.
Вы думали об использовании VPN? Например, установите OpenVPN на серверах и настройте iptables так, чтобы только порт OpenVPN был позволен в этом перекрестном интерфейсе технического обслуживания. И возможно DHCP, если Вы хотите дать им адрес в противоположность им имеющий необходимость вручную поднять IP. Затем позвольте FTP и другие протоколы, которые Вы хотите только к сетевым адресам на VPN.
У каждого авторизованного сотрудника был бы их собственный ключ, и затем если бы сотрудник уехал, то Вы могли бы отменить их ключ. Таким образом, Вы были бы даже защищены от предыдущих сотрудников. Или если бы Вы не хотели этот уровень защиты, то Вы могли бы использовать общий ключ, а не центр сертификации.
-
1Это могло работать также, я думаю. Я не знаю практического различия между openvpn и туннелированием ssh, хотя и мне действительно не нужен высокий уровень паранойи. – Emiliano 15 November 2010 в 11:55