我的公司有一个相当常见的安全设置,当您在公司网络之外时,您需要通过 VPN 登录才能访问服务器。生物群落主要是 Windows 机器。
我目前正在努力工作,建立一个需要从外部世界访问的存储库/构建 Debian 环境。我已经使用 OpenSSH 设置了基于证书ssh。
与仅打开互联网的 SSH 端口并允许 SSH 证书对用户进行身份验证相比,使用 VPN 设置是否有任何额外的安全性?
在我看来,让那些通常不在 VPN 内的人访问单一服务,就等于让该用户获得了超出所需的访问权限。但我对 VPN 不太熟悉,那么我还缺少什么额外的好处吗?
答案1
使用 VPN 比向世界开放 ssh 端口更安全。您只需打开一个端口即可从外部进行 VPN 访问,即可让用户访问 Intranet 内的所有计算机。您不需要在每台服务器上打开公共端口,例如 ssh。除了一个 VPN 网关外,服务器对外界完全隐藏。我认为这样更好。无论您是否想让您的用户访问附加服务,仍然会有一个开放的 VPN 端口通向世界。
显然,如果您愿意,您也可以对 Intranet 内的所有访问进行防火墙。此外,如果您向外界开放服务器上的 SSH 端口,您肯定需要一些额外的安全措施,例如端口敲门,并fail2ban阻止该端口上的疯狂行为。
因此,VPN 是“公路战士”访问本地服务的更好、更灵活的方式。我认为这是一个很好的实践,几乎是一个标准。
答案2
我看不出有什么额外的安全性,两者都有相同的弱点,那就是向世界开放的港口。