Назад | Перейти на главную страницу

Правильный дизайн безопасности для доступа по SSH на хосте Proxmox и виртуальных машинах

Я понимаю, что для безопасности нужно всегда носить шляпу параноика.

Мой сценарий:

У меня будут 3 виртуальные машины KVM, установленные на Proxmox VE

  1. Сервер Apache / Tomcat
  2. Сервер под управлением mysql

  3. Сервер под управлением mongod

    • Все эти виртуальные машины будут отключены при прямом входе в систему root и будут использовать только ключи passphrase-ssh. На каждом из них будет установлен механизм межсетевого экрана CSF, который будет разрешать трафик на основе IP-адреса и порта.

Теперь вопрос

У меня есть 3 варианта настройки удаленного входа в систему, когда хост-сервер будет совмещен с провайдером.

Вариант 1

а. Включите SSH-доступ ко всем машинам напрямую из Интернета, и риск здесь заключается в том, что я не хочу открывать mysql, mongodb и сервер приложений напрямую внешнему миру, даже если это всего лишь ключ passprhrase-protected-ssh-key.

Вариант 2

а. Включите SSH только для хоста Proxmox, а затем сохраните здесь мои ключи ssh. Это выглядит пугающе, потому что любой, кто взломает мой логин в Proxmox, будет иметь ключи ко всем машинам (даже если они защищены парольной фразой)

Вариант 3

а. Создайте openvpn на другой виртуальной машине / маршрутизаторе и разрешите правилам брандмауэра предоставлять ssh доступ к виртуальным машинам только с этим сегментом VLAN, и таким образом я могу хранить ключи SSH на моем ноутбуке / компьютере, а не на любом сервере.

Я начинающая компания с очень ограниченными возможностями по управлению серверами Linux. Я могу ориентироваться в Linux и не очень хорошо разбираюсь в системе администратора, но за последние несколько недель, связанных с ограничением доступа и общим усилением системы Linux, я прочитал достаточно о безопасности Linux. Я просто хочу следовать правилу использовать / устанавливать только те инструменты, которые абсолютно необходимы.

Второй вопрос, который я также хочу знать, правильно ли это - я предпочитаю останавливать веб-интерфейс Proxmox по умолчанию и запускать / останавливать apache2, обслуживающий этот веб-интерфейс по мере необходимости. Поскольку интерфейс apache очень мощный и обеспечивает консольный доступ к каждой из виртуальных машин напрямую без каких-либо SSH-ключей.

Также приветствуются любые идеи и общие советы или указатели.

Из вашего сообщения я понимаю, что вы хотите защитить свои серверы от атак через SSH. Самый простой способ защитить ваш сервер - настроить Fail2ban в proxmox VE, а также на виртуальной машине. Fail2ban предотвратит атаки ssh и заблокирует IP-адреса с максимальной попыткой неправильного пароля. Попытайся. Продолжайте с Fail2Ban.