我们的生产服务器托管一个在 Apache 和 MySQL 上运行的小型 Web 系统。
如今,SSH 和 mysql 访问对所有 IP 开放,并且仅受密码保护。因此,我们决定需要提高安全性。
我正在考虑限制 SSH 和 mysql 对我们服务器的访问,以便只接受来自我们办公室的连接。
我们今天办公室有一个动态 IP,所以我认为我们必须获取一个静态 IP。
然而,有时我们在外出时需要访问我们的服务器。因此,我想我们为办公室配备一台固定计算机,作为我们的 DHCP 服务器和 SSH 隧道。这样我们就可以连接到它并通过它发送所有流量,这样我们就可以获得办公室的 IP。
这是个好的解决方案吗?我还应该做什么?
答案1
最好的解决方案是保持端口 22 对所有人开放,但仅允许密钥身份验证。然后将 Mysql 限制到本地主机,并在想要直接连接到 Mysql 时使用 SSH 隧道。
答案2
为什么不使用基于密钥的 SSH 身份验证,而是将 SSH 限制到 IP?对于 mysql,您可以为特定数据库创建一个具有密码的用户。