将服务器访问限制在我们的办公室 IP 上,不在办公室时使用 SSH 隧道

将服务器访问限制在我们的办公室 IP 上,不在办公室时使用 SSH 隧道

我们的生产服务器托管一个在 Apache 和 MySQL 上运行的小型 Web 系统。

如今,SSH 和 mysql 访问对所有 IP 开放,并且仅受密码保护。因此,我们决定需要提高安全性。

我正在考虑限制 SSH 和 mysql 对我们服务器的访问,以便只接受来自我们办公室的连接。

我们今天办公室有一个动态 IP,所以我认为我们必须获取一个静态 IP。

然而,有时我们在外出时需要访问我们的服务器。因此,我想我们为办公室配备一台固定计算机,作为我们的 DHCP 服务器和 SSH 隧道。这样我们就可以连接到它并通过它发送所有流量,这样我们就可以获得办公室的 IP。

这是个好的解决方案吗?我还应该做什么?

答案1

最好的解决方案是保持端口 22 对所有人开放,但仅允许密钥身份验证。然后将 Mysql 限制到本地主机,并在想要直接连接到 Mysql 时使用 SSH 隧道。

答案2

为什么不使用基于密钥的 SSH 身份验证,而是将 SSH 限制到 IP?对于 mysql,您可以为特定数据库创建一个具有密码的用户。

相关内容