我有一台保存一些敏感資料的伺服器。目前,對伺服器的存取僅限於一個人透過 SSH 進行。然而,該伺服器與許多其他電腦位於同一網路上,並且具有相同範圍內的 IP(儘管受到防火牆保護)。
我讀到,一種額外的安全措施是透過加密的 VPN 連接到伺服器,這樣伺服器就不會與其他電腦位於同一網路上。如果我們將來想要擴展安全性,我們可以添加令牌身份驗證。
有人可以告訴我上述內容是否可行以及設定是否有意義嗎?如果沒有 VPN 路由器並透過它進行連接,我無法理解 VPN 將如何運作。
任何反饋和指示都會有所幫助。
答案1
我同意第一個答案(如果我可以發表評論,我會的,但我不能,所以我發布了一個答案)。 VPN 很可能不是最適合您情況的技術。只允許來自一組已知主機的 SSH 是更好的選擇。為了更進一步,我將 SSH 伺服器設定為不允許密碼驗證,並強制使用 ssh 金鑰。這在潛在攻擊者需要的東西清單中又增加了一項內容。
僅使用 SSH 和防火牆規則,攻擊者就需要:
- 具有允許 IP 的主機
- 有效的密碼
如果您告訴 SSH 伺服器僅允許基於金鑰的登錄,攻擊者將需要:
- 具有允許 IP 的主機
- 你的 ssh 密鑰
- ssh 密鑰的密碼
它只是增加了另一個跳躍闖入你的盒子的障礙。另外,它完全消除了針對 ssh 連接埠的標準字典攻擊。如果沒有好的密鑰,猜測再多的密碼也無濟於事。
答案2
儘管 VPN 很棒,但您仍然需要在已連接的相同網路上擁有 IP 位址,但它僅限於處理 VPN 連線流量。
如果您關閉除 SSH 之外的所有其他共用和端口,那麼您無需付出更多努力即可合理獲得安全性。
答案3
在解決一些類似的問題時,我想提供我的意見。
根據您的安全疑慮的原因,您有一天可能會尋求基於支付卡產業 (PCI) 等標準的安全等級。為了滿足這些要求並提供最安全的存取和限制方式,我建議採取以下措施:
將安全電腦移至單獨的子網,該子網路由具有存取控制清單 (ACL) 的適當路由器分隔。除了狀態檢查防火牆(IPTables 功能強大)之外,還可以使用 ACL 鎖定您希望存取電腦的 IP 位址和連接埠。確保不存在從不受信任的網路(即網際網路)到安全網路的直接路徑。
對於額外級別,您當然可以僅允許透過 VPN 連接埠(例如 OpenVPN 的 UDP 1194)連接到計算機,但如果您僅透過 SSH 連接到計算機,則額外的 SSH VPN 隧道可能被認為是多餘的。