У нас есть веб-сервер (debian lenny, стандартный LAMP). У нас есть несколько инструментов, полезных для мониторинга / администрирования сервера с помощью веб-интерфейса (phpMyAdmin, APC opcache monitor, serverstats, phpinfo ...), и мы хотели бы ограничить доступ к ним только для администраторов сервера. Поэтому я создал виртуальный apache, который разрешил доступ только с локального хоста. Затем администраторы сервера создают SSH-туннель к серверу. Виртуальный хост:
<Directory /var/www/localhost/www/>
order deny,allow
deny from all
allow from 127.0.0.1
</Directory>
<VirtualHost 127.0.0.1:80>
ServerName localhost
DocumentRoot /var/www/localhost/www
DirectoryIndex index.html index.htm index.php
</VirtualHost>
Мой вопрос это - это достаточно безопасно? Мы не используем iptables / firewall. Я знаю, что могу использовать также / вместо аутентификации SSL + http.
Я считаю, что это достаточно безопасно. Думаю, в данном случае брандмауэр для этого не нужен. Но вы все равно должны быть уверены, что правильно защищаете SSH.
Да, мне кажется безопасным, но для полной уверенности вам следует использовать брандмауэр. Его преданная работа - принимать или отклонять соединения в зависимости от их исходного адреса.
Обычно я закрываю все порты, кроме SSH, а затем устанавливаю NXserver. Вы даже можете сгенерировать определенный клиентский сертификат, чтобы убедиться, что только разрешенные клиенты, обладающие этим сертификатом и действующей учетной записью на сервере, могут войти в систему (вы также можете просто использовать аутентификацию SSH). Конечно, вы можете сделать это напрямую с помощью SSH, но мне это проще с NX. Это также ускоряет отображение X, поскольку NX - это глобально оптимизированная клиентская библиотека X.