我们有 Web 服务器(debian lenny,标准 LAMP)。我们有一些用于通过 Web 界面监控/管理服务器的工具(phpMyAdmin、APC opcache monitor、serverstats、phpinfo……),我们希望仅服务器管理员可以访问它们。因此我创建了 apache 虚拟服务器,只允许从本地主机访问。然后服务器管理员建立到服务器的 SSH 隧道。虚拟主机:
<Directory /var/www/localhost/www/>
order deny,allow
deny from all
allow from 127.0.0.1
</Directory>
<VirtualHost 127.0.0.1:80>
ServerName localhost
DocumentRoot /var/www/localhost/www
DirectoryIndex index.html index.htm index.php
</VirtualHost>
我的问题是 - 这是否合理安全?我们不使用 iptables/防火墙。我知道我也可以/代替使用 SSL + http 身份验证。
答案1
我认为这是相当安全的。我认为在这种情况下你不需要防火墙。但你仍然应该确保你正确地保护了 SSH。
答案2
是的,我觉得很安全,但你应该使用防火墙来确保万无一失。防火墙的专门工作就是根据原始地址接受或拒绝连接。
我通常会关闭除 SSH 之外的所有端口,然后安装 NXserver。您甚至可以生成特定的客户端证书,以确保只有拥有此证书和服务器上有效帐户的允许客户端才能登录(您也可以只使用 SSH 身份验证)。当然,您可以直接使用 SSH 执行此操作,但我发现使用 NX 更容易。这还会加快 X 显示速度,因为 NX 是全局优化的 X 客户端库。