На нашем производственном сервере размещена небольшая веб-система, работающая на Apache и MySQL.
Сегодня доступ к SSH и mysql открыт для всех IP-адресов и защищен только паролем. Итак, мы решили, что нам нужно повысить безопасность.
Я думаю, что мы ограничиваем доступ SSH и mysql к нашему серверу, чтобы принимались соединения только из нашего офиса.
Сегодня у нас в офисе динамический IP, так что, я думаю, нам нужно получить статический.
Однако иногда нам нужно получить доступ к нашему серверу, когда мы в пути. Поэтому я думаю, что мы получим стационарный компьютер для офиса, который будет нашим DHCP-сервером и SSH-туннелем. Чтобы мы могли подключиться к нему и отправлять через него весь наш трафик, чтобы получить IP-адрес нашего офиса.
Это хорошее решение? Что еще мне следует сделать?
Лучшее решение - оставить порт 22 открытым для всех, но разрешить только аутентификацию по ключу. Затем ограничьте Mysql локальным хостом и используйте туннель SSH всякий раз, когда вы хотите подключиться к Mysql напрямую.
Вместо того, чтобы ограничивать SSH IP, почему бы не использовать аутентификацию SSH по ключевой базе, а для mysql вы можете создать пользователя с паролем для конкретной базы данных.