Назад | Перейти на главную страницу

Получение безопасного доступа к вычислительному серверу

Отказ от ответственности: я не системный администратор, поэтому могу говорить глупости / полагаться на неправильные предположения. Не стесняйтесь поправлять меня.

Я работаю в стартапе, и некоторое время назад мы купили для работы сервер для внутреннего пользования. Теперь работа окончена, и мы хотели бы использовать ее как «вычислительную рабочую лошадку». На сервере можно запускать виртуальные машины, и мы можем управлять ими через VMWare vSphere. Я хотел бы получить безопасный доступ к экземпляру linux vm (debian) через ssh.

Мой первый подход заключался бы в том, чтобы просто поддерживать и запускать экземпляр виртуальной машины debian, настроить ssh и аутентификацию с моими ключами RSA и перенаправить 22 порта на любой внешний IP-адрес в Интернете (через корпоративный маршрутизатор с брандмауэром).

Это небезопасно?

Обратите внимание, что в описанном выше сценарии нет VPN.

Это могло быть безопасно

Это зависит от ваших требований к безопасности и уровня риска, на который вы готовы пойти.

Вот некоторые соображения / идеи

  • SSH довольно безопасен, особенно при принудительной аутентификации по ключу. Сети постоянно обеспечивают удаленный доступ через VPN. SSH не сильно отличается.
  • Пароль для шифрования ваших ключей SSH
  • Включить автоматические обновления безопасности
  • Вам нужно подумать об остальной части вашей сети. Сервер Debian может предоставить злоумышленнику доступ к другим сетевым ресурсам в случае его взлома. Если вас это беспокоит, подумайте о его закаливании.
  • Возможно, ограничьте ресурсы виртуальных машин таким образом, чтобы они не мешали гипервизору или другим виртуальным машинам.
  • Если виртуальная машина имеет ограниченный (DMZ или что-то еще) доступ к LAN / сети или отсутствует, это будет намного безопаснее. Рассмотрите возможность использования нескольких уровней брандмауэра, включая брандмауэр на самой виртуальной машине.
  • Если виртуальная машина не содержит конфиденциальной информации или важных служб, это будет безопаснее.
  • Возможно, не используйте одни и те же ключи или пароли для внутренних устройств или других серверов, кроме этой виртуальной машины.
  • Попросите что-нибудь настроить для просмотра журналов на предмет несанкционированного входа и / или других проблем.
  • Запустите ssh на порту, отличном от 22, чтобы люди не нашли его так быстро / легко / совсем.
  • Если возможно, ограничьте входящий трафик через брандмауэр (действительно безопасно, например, если у вас есть статические IP-адреса для подключения).
  • Иногда люди / боты забивают ваш сервер, пытаясь получить доступ. Есть способы ограничить скорость или запретить эти соединения. Ваш брандмауэр может даже помочь с этим.

fail2ban ssh

https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04