我有一个小型 VPS(Ubuntu 16.04),用于托管一些个人网站、ownCloud 等。它相当慢,存储空间也不大。我想将 ownCloud 存储和 MySQL 数据库(基本上是所有资源密集型的东西)卸载到我的家庭服务器(Ubuntu 17.10)上,而无需在绝对必要的情况下打开我的家庭网络。
从安全角度来看,最好的方法是什么?我能想到三种选择:
- 在非标准端口上公开 MySQL 和 NFS,除了 VPS 的 IP 之外的所有防火墙。
- 建立 SSH 隧道,并通过该隧道路由所有 MySQL 和 NFS 流量。
- 设置 VPN,同上。
对于情况 2 和 3,我担心的是,如果我的 VPS 受到攻击,我最终可能会暴露更多我想要的家庭网络 - VPS 决定要通过隧道连接到哪些远程端口/IP,因此一旦隧道建立,任何攻击者都可以添加新的隧道。
答案1
选项 3(选项 2 是选项 3 的特例)显然是可行的方法。
它比选项 1 提供了更高的安全性,并且您的家庭服务器不再像使用选项 1 那样面临被入侵的风险,但您可以确保数据是加密的,而不像选项 1 那样,它是一种通过模糊性实现的非常弱的安全性。
处理此问题的一种方法是在我的家庭服务器上设置适当的 VPS,因此如果异地 VPS 受到损害,他们可以以某种方式利用这一点来提供对你的家庭服务器的提升访问权限 - 他们仍然会在 VM 中。