Tengo un VPS pequeño (Ubuntu 16.04) que uso para alojar algunos sitios web personales, ownCloud, etc. Es bastante lento y no tiene mucho espacio de almacenamiento. Me gustaría descargar el almacenamiento ownCloud y la base de datos MySQL, básicamente cualquier cosa que requiera muchos recursos, en mi servidor doméstico (Ubuntu 17.10), sin abrir mi red doméstica más de lo absolutamente necesario.
¿Cuál es la mejor manera de hacer esto desde el punto de vista de la seguridad? Hay tres opciones que se me ocurren:
- Exponga MySQL y NFS en puertos no estándar, firewall todo menos la IP del VPS.
- Establezca un túnel SSH y dirija todo el tráfico MySQL y NFS a través del túnel.
- Configure una VPN, lo mismo.
Mi preocupación en el caso de 2 y 3 es que si mi VPS se ve comprometido, puedo terminar exponiendo más de mi red doméstica de lo que pretendo: es el VPS el que decide a qué puertos/IP remotos va a hacer un túnel, por lo que una vez que el túnel está configurado, cualquier atacante puede agregar nuevos túneles.
Respuesta1
La opción 3 (y la opción 2 es un caso especial de la opción 3) es claramente el camino a seguir.
Proporciona más seguridad que la opción 1, y usted no corre más riesgo de que su servidor doméstico se vea comprometido que si usaría la opción 1, pero puede estar seguro de que los datos están cifrados, a diferencia de la opción 1, que es una versión de seguridad muy débil. a través de la oscuridad.
Una forma de manejar esto es configurar VPS apropiados en mi servidor doméstico y, por lo tanto, si el VPS externo estuviera comprometido y de alguna manera pudieran aprovecharlo para comprometerse y proporcionar acceso elevado a su servidor doméstico, todavía estarían en una situación difícil. VM.