免责声明:我不是系统管理员,所以我可能会说蠢话/依赖错误的假设。请随时纠正我。
我在一家初创公司工作,前段时间我们为一项工作购买了一台服务器供内部使用。现在工作结束了,我们想把它用作“计算主力”。该服务器可以运行虚拟机,我们可以通过 VMWare vSphere 控制它们。我想通过 ssh 安全访问 Linux VM(Debian VM)的实例。
我的第一个方法是保持 debian VM 实例正常运行,使用我的 RSA 密钥设置 ssh 和身份验证,并将端口 22 转发到互联网上的任何外部 IP(通过带有防火墙的公司路由器)。
这不安全吗?
请注意,上述场景中不涉及 VPN。
答案1
可能是安全的
这取决于您的安全要求和您愿意承担的风险级别。
以下是一些考虑/想法
- SSH 相当安全,尤其是在强制密钥认证时。网络始终通过 VPN 提供远程访问。SSH 也没什么不同。
- 使用密码加密你的 SSH 密钥
- 启用自动安全更新
- 您需要考虑网络的其余部分。如果 Debian 服务器受到攻击,则可能为入侵者提供访问其他网络资源的权限。如果您对此感到担忧,请考虑加强其安全性。
- 也许可以以某种方式限制虚拟机资源,以使其不会干扰虚拟机管理程序或其他虚拟机。
- 如果虚拟机的 LAN/网络访问受限(DMZ 等)或没有 LAN/网络访问,则更安全。考虑多级防火墙,包括虚拟机本身的防火墙。
- 如果虚拟机不包含非常敏感的信息或重要的服务,它会更安全。
- 可能不会对该虚拟机之外的内部内容或其他服务器使用相同的密钥或密码。
- 设置一些程序来监视日志中是否存在未经授权的登录和/或其他值得关注的事情。
- 在 22 以外的端口上运行 ssh,这样人们就不会那么快/轻易/根本找到它。
- 如果可能的话,通过防火墙限制传入的流量(非常安全,例如如果您有静态 IP 可以连接)。
- 有时,人们/机器人会攻击您的服务器以尝试访问。有办法限制或禁止这些连接。您的防火墙甚至可能能够提供帮助。
fail2ban ssh
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04