所以我有一个有趣的问题。
我目前租用Hetzner(德国托pipe服务提供商)的几台服务器。 每个服务器都有一个软防火墙,并做一些像网页寄存/数据库。
我想租一个更强大的服务器,并使用连接到物理网卡和pfSense虚拟机的vSwitch和pfSense虚拟机中的另一个vSwitch到其他虚拟机设置ESXi等虚拟机pipe理程序。 不幸的是,Hetzner似乎没有在公共接口和服务器之间提供硬件防火墙(只留下软防火墙)。
像这样公开运行ESXi(v5.5)的安全隐患是什么? 快速研究build议spiceworks上的这个线程总结为禁用SSH /控制台(telnet?)访问和设置正确的SSL证书和一个非常复杂的不可猜测的用户名/密码对。 带有单入口攻击点的明显含义。
您可以限制通过ESXi防火墙允许的IP地址。
这真的是你需要强化的一切。 将您的pipe理locking到特定的IP地址是非常安全的。 自然地遵循其他最佳做法重新密码等。
只要确保完全查看防火墙并将所有内容locking到您的pipe理IP。
将所有端口locking为127.0.0.1, 除了 SSH 以外 ,上面给出。 将SSHlocking为专用/公钥authentication,并禁用ChallengeResponseAuthentication和PasswordAuthentication。 这非常安全。
使用您最喜欢的SSH客户端连接到服务器与命令行,如:
ssh my.vmhost.rackhoster -L80:localhost:80 -L443:localhost:443 -L903:localhost:903
然后保持SSH会话正常运行,并将浏览器指向https://localhost/ ,并自动将端口443转发到ESXi主机。 如果您已经在本地计算机上使用端口443,请更改这些端口(例如,-L8443:localhost:443,而不是 – > https://localhost:8443/ )。 端口80也一样。端口903用于控制台。
如果你的私钥丢失了,那么你就这样把它搞砸了! 🙂
为了超级安全,请确保您的私钥使用密码进行encryption。 别忘了!
使用ESXi内置防火墙closures不需要的端口,并将对开放端口的访问限制在一系列已知的IP地址。
如果您在家中不使用固定的外部IP地址(与大多数人一样),那么这可能会非常具有挑战性,所以您最终可能会限制您访问互联网上其他一些服务器的地址。
你为什么要在公网上运行ESX? 你不能只使用pfSense固件作为“公共端点”,并使其他一切私人? 这是我将如何做到这一点。