我有一個小型 VPS(Ubuntu 16.04),用於託管一些個人網站、ownCloud 等。我想將自己的雲端儲存和 MySQL 資料庫(基本上是所有資源密集的內容)卸載到我的家庭伺服器(Ubuntu 17.10)上,而無需打開我的家庭網路(除非絕對必要)。
從安全角度來看,最好的方法是什麼?我能想到三種選擇:
- 將 MySQL 和 NFS 暴露在非標準連接埠、防火牆上,但 VPS 的 IP 除外。
- 建立 SSH 隧道,透過隧道路由所有 MySQL 和 NFS 流量。
- 設定 VPN,同上。
我對 2 和 3 的情況的擔憂是,如果我的 VPS 受到損害,我最終可能會暴露更多我想要的家庭網路 – 由 VPS 決定它將通過隧道連接到哪些遠端連接埠/IP,因此一旦隧道一旦設定完畢,任何攻擊者都可以新增隧道。
答案1
選項 3(選項 2 是選項 3 的特例)顯然是正確的選擇。
它提供比選項1 更高的安全性,與使用選項1 相比,您的家庭伺服器不會再面臨被入侵的風險,但您可以確保資料已加密,這與選項1 不同,選項1 的安全性非常弱透過默默無聞。
處理此問題的一種方法是在我的家庭伺服器上設定適當的VPS,因此,如果場外VPS 受到損害,他們可以以某種方式利用它來進行妥協,以提供對家庭伺服器的更高存取權限- 他們仍然會處於虛擬機器。