我意识到“安全”是一个非常有内涵的定义。

我需要连接到 SFTP 日志服务器（仅用户/密码，无 ssh 密钥）。

SFTP 服务器有 IP 白名单，而我的所有服务器 IP 都是动态的。我想设置一个具有静态 IP 的 SOCKS5 代理服务器，以便我从我的服务器进行连接并代理 SSH 连接。不幸的是，我无法在防火墙中将传入 IP 列入白名单，因为我使用的是 Heroku，它使用 Amazon 上的任何 IP

我主要关心的是这个代理服务器是否对全世界开放，我想确保我所做的步骤是好的，或者我是否需要做更多。我知道安全性可以走极端，但我并不是超级高级，所以我想要一个适合 99.95% 应用程序的中间立场。

这是我所做的步骤，没有其他步骤（因此没有额外的配置或软件安装等）。

1. 在 Google Cloud 上创建一个实例，使用Ubuntu 18.04，并为其指定一个静态 IP
2. tcp:1080使用 Google Cloud Web 界面在防火墙中打开端口，阻止80并443

3. 使用以下命令创建一个新用户，使用非常安全的密码（长度为 24 个字符，包含字母和数字）

   useradd -M -s /usr/sbin/nologin -p $(openssl passwd -1 PASSWORD) USERNAME 
   

4. 安装 Dante，使用以下配置（ens4来自运行ifconfig并获取适配器名称。我猜这是 Google 云的称呼）：

   logoutput: /var/log/danted.log
   
   internal: ens4 port = 1080
   external: ens4
   
   socksmethod: username
   clientmethod: none
   
   user.privileged: root
   user.unprivileged: nobody
   # comment out user.libwrap lines
   
   timeout.io: 43200
   
   client pass {
     from: 0.0.0.0/0 to: 0.0.0.0/0
     log: error
   }
   
   socks pass {
     from: 0.0.0.0/0 to: logging-service.example.com
     log: error
   }
   

我主要担心的是：

1. 开放 1080 端口可以吗？有些人说这不好，但他们给我提供了一些我不明白的东西，比如“netplan.io”。如果这不是一个好主意，有什么简单的解决办法吗？
2. 我注意到您可以在and块method内使用关键字...我应该在那里放些什么吗？还是使用and之下的内容？clientsockssocksmethodclientmethod
3. 我是否应该添加一些可以阻止失败的登录尝试的东西（我认为它被称为 fail2ban？）
4. 我确实对该部分添加了限制socks，只允许连接到logging-service.example.com，但我认为如果有人入侵到那时，那就有些问题了。
5. net-ssh我使用的/库net-sftp也支持“跳跃”代理，这样更安全吗？
6. 允许全世界连接到端口 1080 并尝试猜测用户名/密码似乎很奇怪。我想这使其成为最薄弱的环节。只要密码长且安全，还有其他方法可以加强这个最薄弱的环节吗？

还有其他想法可以使其更安全吗？