免责声明:我不是系统pipe理员,所以我可能会说愚蠢的事情/依靠不正确的假设。 随时纠正我。
我在一家创业公司工作,前一段时间我们买了一台服务器供内部使用。 现在工作结束了,我们想用它作为“计算主力”。 服务器可以运行虚拟机,我们可以通过VMWare vSphere控制它们。 我想通过SSH安全地访问一个linux虚拟机(一个debian的)的实例。
我的第一个方法是保持debian VM实例正常运行,使用我的RSA密钥设置ssh和身份validation,并将端口转发到Internet上的任何外部IP(通过带有防火墙的公司路由器)。
这是不安全的吗?
请注意,上述场景中没有涉及VPN。
这可能是安全的
这取决于您的安全要求和您愿意承担的风险水平。
这里有一些考虑/想法
- SSH是相当安全的,特别是在强制密钥authentication的时候。 networking通过VPN提供远程访问。 SSH没有太大的不同。
- 密码encryption您的SSH密钥
- 启用自动安全更新
- 你需要考虑你的networking的其余部分。 Debian服务器可以为入侵者提供对其他networking资源的访问权限。 如果你担心的话,考虑加强它。
- 也许可以限制虚拟机资源,以免干扰虚拟机pipe理程序或其他虚拟机。
- 如果虚拟机有限制(DMZ或其他)或没有LAN /networking访问,将是更安全的。 考虑多层次的防火墙,包括虚拟机本身的防火墙。
- 如果虚拟机不包含非常敏感的信息或重要的服务,则会更安全。
- 也许不要使用相同的密钥或密码的内部的东西或除该虚拟机以外的其他服务器。
- 有东西设置来观看日志未经授权的login和/或其他关心的事情。
- 在22以外的端口上运行ssh,以免人们很快/很容易地find它。
- 如果可能的话,通过防火墙限制传入的stream量(真的很安全,就像你有静态的IP连接一样)。
- 有时候人们/机器人会锤击你的服务器试图访问。 有办法限制或禁止这些连接。 您的防火墙甚至可以帮助。
fail2ban ssh
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04