我明白,为了安全起见,我必须总是戴着偏执狂的帽子。
我的场景:
我将在Proxmox VE上安装3个KVM虚拟机
服务器运行mongod
现在的问题
当主机服务器与提供者位于同一位置时,我有3个select如何设置远程login。
select1
一个。 直接从互联网启用SSH访问所有的机器,这里的风险是我不想直接向外界暴露mysql,mongodb和App服务器,即使它只是passprhrase-protected-ssh-key。
select2
一个。 只启用SSH到Proxmox主机,然后存储我的SSH密钥在这里。 这看起来很吓人,任何黑客入侵Proxmox的人都会拥有所有机器的密钥(即使他们是密码保护的)
select3
一个。 在另一台虚拟机/路由器上创build一个openvpn,并允许防火墙规则只允许ssh访问具有该VLAN段的虚拟机,这样我就可以将SSH密钥存储在笔记本电脑上而不是任何服务器上。
我是一家初创公司,在pipe理Linux服务器方面的天赋非常有限。 我可以在linux中导航而不是很好的系统pipe理员的东西,但在过去的几个星期里,读取足够的linux安全性限制了Linux系统的访问和普遍加强。 我只是想遵循规则使用/只安装那些绝对需要的工具。
第二个问题,我也想知道这是否正确 – 我的偏好是默认停止Proxmox的Web界面,并在需要的基础上启动/停止服务于此Web界面的apache2。 由于apache界面function非常强大,将直接提供控制台访问每个虚拟机,而不需要任何SSH密钥
任何想法和一般build议或指针也非常受欢迎。
我从你的文章中了解到,你想保护你的服务器表单SSH攻击。 保护服务器的简单方法是在proxmox VE和VM中configurationFail2ban。 Fail2ban将防止ssh攻击,并以最大错误密码尝试阻止IP。 尝试一下。 继续与Fail2Ban。