У меня есть несколько удаленных серверов, которые я блокирую, ограничивая SSH определенными IP-адресами. Точно так же наши внутренние инструменты администрирования клиентов также заблокированы IP. Это нормально при работе из офиса, но если я нахожусь в другом месте (например, в общедоступном Wi-Fi) или на моем iPhone, IP-адреса будут меняться.
Как лучше всего настроить удаленный доступ, чтобы доступ можно было разрешить из любого места, но при этом сохраняя безопасность?
Моим ответом было бы настроить VPN для туннелирования всех подключений и разрешить только IP-доступ VPN. Если это путь вниз, я не хочу, чтобы VPN располагался в офисе, а предпочел бы, чтобы им управляли удаленно. Есть ли поставщики услуг VPN как услуги?
Хамачи это единственная управляемая служба VPN, о которой я знаю, но она не будет работать с Iphone.
Я бы предложил использовать заблокированные IP-адреса, а также реализация с блокировкой портов который запускает демон SSH, работающий на нестандартном порту, настроенный для нестандартного доступа.
Как насчет того, чтобы иметь один ящик, который не имеет ограничений IP или свободных ограничений, где вы можете подключаться по SSH и оттуда на другие серверы? Даже небольшой компьютер (даже Mac Mini) подойдет, и этот ящик можно разместить в центре обработки данных только для этой цели. Компьютер, который не требует дополнительной мощности и может быть полезен для других целей (например, для серфинга в сети в центре обработки данных - если на других устройствах нет графического интерфейса). Шансы, что это устройство выйдет из строя, невелики, потому что он больше ничего не делает (убедитесь, что спящий режим отключен :), а если это произойдет, это, вероятно, означает, что в центре обработки данных ... ну, пожар.