我有一个服务器,将保存一些敏感的数据。 目前,通过SSH限制对服务器的访问,并且只限于一个人。 然而,服务器与许多其他计算机在同一networking上,并且具有相同范围的IP(尽pipe受防火墙保护)。
我已经读过,一个额外的安全措施是通过encryption的VPN连接到服务器,因此没有与其他计算机在同一networking上的服务器。 如果我们将来想要扩展安全性,我们可以添加令牌authentication。
有谁能告诉我,如果以上是可行的,如果是有意义的build立? 我无法理解VPN如何工作,没有获得VPN路由器并通过它连接。
任何反馈和指针都会有所帮助。
我同意第一个答案(如果我可以评论,我会,但我不能,所以我发布答案)。 VPN很可能不是适合您情况的最合适的技术。 只允许从一组已知的主机SSH是一个更好的select。 为了超出这一步,我会configurationSSH服务器禁止密码authentication,并强制使用SSH密钥。 这为潜在的攻击者所需要的东西添加了一件事。
只要使用SSH和防火墙规则,攻击者就需要:
如果您告诉SSH服务器只允许基于密码的login,攻击者将需要:
它只是增加了另一个障碍,跳到闯入你的盒子。 另外,它完全消除了针对ssh端口的标准字典攻击。 没有一个好的密钥,没有任何密码猜测的工作。
尽pipeVPN非常棒,但您仍然必须在已经位于同一networking上的IP地址上进行访问,但仅限于处理VPN连接stream量。
如果您closures除SSH以外的所有其他共享和端口,那么它将尽可能地安全,因为您可以毫不费力地获得合理的安全。
通过一些类似的问题,我想给我的投入。
根据您的安全问题的原因,您可能有一天会根据支付卡行业(PCI)等标准寻找安全级别。 为了满足这些要求,并提供最安全的访问和限制手段,我会build议如下:
将安全机器移动到一个单独的子网,并使用具有访问控制列表(ACL)的适当路由器分隔。 除了有状态的检测防火墙(IPTables具有更强的function)之外,使用ACL来locking您希望访问机器的IP地址和端口。 确保没有从不受信任的networking(即互联网)到安全networking的直接path。
对于一个额外的级别,你当然可以允许连接到VPN连接端口上的机器(例如我们用于OpenVPN的UDP 1194),但是如果你的机器只能通过SSH连接,那么额外的SSH VPN隧道可能被认为是冗余的。