Ich habe einen kleinen VPS (Ubuntu 16.04), den ich zum Hosten einiger persönlicher Websites, ownCloud usw. verwende. Er ist ziemlich langsam und hat nicht viel Speicherplatz. Ich möchte den ownCloud-Speicher und die MySQL-Datenbank, also im Grunde alles, was ressourcenintensiv ist, auf meinen Heimserver (Ubuntu 17.10) auslagern, ohne mein Heimnetzwerk mehr als unbedingt nötig zu öffnen.
Was ist aus Sicherheitsgründen der beste Weg, dies zu tun? Mir fallen da drei Möglichkeiten ein:
- Legen Sie MySQL und NFS auf nicht standardmäßigen Ports frei und schützen Sie alle Ports mit einer Firewall, außer der IP des VPS.
- Richten Sie einen SSH-Tunnel ein und leiten Sie den gesamten MySQL- und NFS-Verkehr durch den Tunnel.
- Richten Sie ein VPN ein, dito.
Meine Sorge im Fall 2 und 3 besteht darin, dass ich, wenn mein VPS kompromittiert wird, möglicherweise mehr von meinem Heimnetzwerk preisgebe als beabsichtigt – es ist der VPS, der entscheidet, zu welchen Remote-Ports/IPs er einen Tunnel baut, sodass jeder Angreifer, sobald der Tunnel eingerichtet ist, neue Tunnel hinzufügen kann.
Antwort1
Option 3 (und Option 2 ist ein Sonderfall von Option 3) ist eindeutig der richtige Weg.
Es bietet mehr Sicherheit als Option 1 und Sie laufen nicht mehr Gefahr, dass Ihr Heimserver kompromittiert wird, als wenn Sie Option 1 verwenden würden. Sie können jedoch sicher sein, dass die Daten verschlüsselt sind, im Gegensatz zu Option 1, die eine sehr schwache Version von Sicherheit durch Verschleierung darstellt.
Eine Möglichkeit, damit umzugehen, besteht darin, entsprechende VPS auf meinem Heimserver einzurichten. Wenn also der externe VPS kompromittiert würde und sie dies irgendwie ausnutzen könnten, um erweiterten Zugriff auf Ihren Heimserver zu gewähren, wären sie immer noch in einer VM.