我有一台服务器,里面存放着一些敏感数据。目前,服务器的访问权限仅限于通过 SSH,并且仅限一人访问。然而,该服务器与许多其他计算机位于同一网络上,并且 IP 也位于同一范围内(尽管受防火墙保护)。
我读到过,增加的安全措施是通过加密 VPN 连接到服务器,这样服务器就不会与其他计算机处于同一网络上。如果我们将来想要扩展安全性,我们可以添加令牌身份验证。
有人能告诉我上述方法是否可行,以及设置是否合理吗?我无法理解 VPN 在没有 VPN 路由器并通过它连接的情况下如何工作。
任何反馈和指点都会有帮助。
答案1
我同意第一个答案(如果我可以评论,我会的,但我不能,所以我发布了一个答案)。VPN 很可能不是最适合您情况的技术。只允许来自一组已知主机的 SSH 是更好的选择。为了更进一步,我会将 SSH 服务器配置为不允许密码验证,并强制使用 ssh 密钥。这会在潜在攻击者需要的东西列表中再添加一项。
仅使用 SSH 和防火墙规则,攻击者就需要:
- 具有允许 IP 的主机
- 有效的密码
如果您告诉 SSH 服务器只允许基于密钥的登录,攻击者将需要:
- 具有允许 IP 的主机
- 你的 ssh 密钥
- ssh 密钥的密码
它只是为入侵你的机器增加了另一个障碍。此外,它完全消除了针对 ssh 端口的标准字典攻击。如果没有好的密钥,无论猜多少次密码都行不通。
答案2
尽管 VPN 很棒,但您仍然必须在其所在的同一网络上拥有一个 IP 地址,它仅限于处理 VPN 连接流量。
如果您关闭除 SSH 之外的所有其他共享和端口,那么它将是最安全的,而且您无需付出太多努力就可以获得最安全的。
答案3
在解决一些类似的问题时,我想提供我的意见。
根据您对安全问题的担忧,您可能有一天会寻求基于支付卡行业 (PCI) 等标准的安全级别。为了满足这些要求并提供最安全的访问和限制方式,我建议如下:
将安全机器移至单独的子网,该子网由具有访问控制列表 (ACL) 功能的适当路由器隔开。除了状态检测防火墙(IPTables 功能强大),还使用 ACL 锁定您希望访问机器的 IP 地址和端口。确保不受信任的网络(即互联网)没有直接通往安全网络的路径。
对于额外的级别,您当然可以仅允许在 VPN 连接端口上连接到机器(例如 OpenVPN 的 UDP 1194),但如果您与机器的连接仅通过 SSH,则额外的 SSH VPN 隧道可能被视为多余的。