我设置了一个处理邮件、文件、jabber 等的 VPS。所有这些服务仅对 OpenVPN 创建的本地网络可用。例如,所有服务将仅监听 10.55.66.xx 子网并忽略来自公共 IP 的连接。
如果我的客户端和服务器之间的通信已经加密,那么在此基础上再添加一层是否有意义?例如,强制 http 转为 https、要求 jabber、POP3/IMAP 等使用 SSL?这对我来说似乎是多余的,但我想知道是否有任何我不知道的注意事项。
答案1
即使只能在本地访问服务,保护服务也是个好主意,特别是当您不信任/不能信任所有内部用户时。当然,这取决于您的网络规模、您的用户是否都值得信任、您交换的数据的敏感度等...
答案2
如果您已将 OpenVPN 设置为客户端无法互相看到(即您未启用“客户端到客户端”),那么它可能是多余的。即使您已启用它,它也可能仍然是多余的,因为我认为它们无法嗅探彼此的流量。
另一方面,我认为为其他服务启用 SSL 是一种很好的做法,因为这样做并不那么麻烦。如果将来某个时候你需要开放对非 VPN 客户端的访问权限,你不必费力地弄清楚如何操作,而且希望你从现在到假设的未来已经发现了 SSL 设置中的任何陷阱。