Eu tenho um pequeno VPS (Ubuntu 16.04) que uso para hospedar alguns sites pessoais, ownCloud, etc. Eu gostaria de descarregar o armazenamento ownCloud e o banco de dados MySQL, basicamente qualquer coisa que consuma muitos recursos, em meu servidor doméstico (Ubuntu 17.10), sem abrir minha rede doméstica mais do que o absolutamente necessário.
Qual é a melhor maneira de fazer isso do ponto de vista de segurança? Existem três opções em que posso pensar:
- Exponha MySQL e NFS em portas fora do padrão, faça firewall em todos, exceto no IP do VPS.
- Estabeleça um túnel SSH, roteie todo o tráfego MySQL e NFS através do túnel.
- Configure uma VPN, idem.
Minha preocupação no caso de 2 e 3 é que, se meu VPS estiver comprometido, posso acabar expondo mais da minha rede doméstica do que pretendo - é o VPS que decide para quais portas/IPs remotos será feito o túnel, então, uma vez que o túnel estiver configurado, qualquer invasor poderá adicionar novos túneis.
Responder1
A opção 3 (e a opção 2 é um caso especial da opção 3) é claramente o caminho a seguir.
Ele fornece mais segurança do que a opção 1, e você não corre mais risco de seu servidor doméstico ser comprometido do que usaria a opção 1, mas pode ter certeza de que os dados estão criptografados, ao contrário da opção 1, que é uma versão muito fraca de segurança através da obscuridade.
Uma maneira de lidar com isso é configurar VPSs apropriados em meu servidor doméstico e, portanto, se o VPS externo fosse comprometido, e eles pudessem de alguma forma aproveitar isso para se comprometer a fornecer acesso elevado ao seu servidor doméstico - eles ainda estariam em um VM.