Разоблачение ресурсов с моего домашнего сервера

231
Mikkel

У меня есть небольшой VPS (Ubuntu 16.04), который я использую для размещения нескольких личных веб-сайтов, ownCloud и т. Д. Он довольно медленный и не занимает много места. Я хотел бы перенести хранилище ownCloud и базу данных MySQL, в основном что-либо ресурсоемкое, на мой домашний сервер (Ubuntu 17.10), не открывая мою домашнюю сеть более, чем это абсолютно необходимо.

Какой лучший способ сделать это с точки зрения безопасности? Есть три варианта, которые я могу придумать:

  1. Выставьте MySQL и NFS на нестандартные порты, все брандмауэры, кроме IP-адреса VPS.
  2. Установите SSH туннель, направьте весь MySQL и NFS трафик через туннель.
  3. Настройте VPN, тоже самое.

В случаях 2 и 3 меня беспокоит то, что, если мой VPS будет скомпрометирован, я могу в конечном итоге раскрыть большую часть своей домашней сети, которую я намереваюсь - это VPS, который решает, к каким удаленным портам / IP-адресам он будет подключаться, поэтому после туннелирования настроен, любой злоумышленник может добавить новые туннели.

0

1 ответ на вопрос

1
davidgo

Вариант 3 (а вариант 2 является частным случаем варианта 3), безусловно, является подходящим вариантом.

Он обеспечивает больше безопасности, чем вариант 1, и вы больше не рискуете поставить под угрозу безопасность своего домашнего сервера, чем вариант 1, но вы можете быть уверены, что данные зашифрованы, в отличие от варианта 1, который является очень слабой версией безопасности через неизвестность.

Один из способов справиться с этим - установить соответствующие VPS на моем домашнем сервере, и, таким образом, если бы VPS за пределами сайта был скомпрометирован, и они могли бы каким-то образом использовать это для компрометации, чтобы обеспечить повышенный доступ к вашему домашнему серверу - они все равно были бы в VM.

Благодарю. В итоге я выбрал вариант 3 и использовал `hosts.allow` /` hosts.deny` для брандмауэра всех, кроме сервисов, которые я хотел предоставить виртуальной машине. Я не знаю, как включить ssh-туннелирование, не разрешая туннелирование на произвольные порты / IP-адреса в моей локальной сети, так что это не было началом. Mikkel 6 лет назад 0
Вы действительно должны использовать iptables для брандмауэра вашего трафика - hosts.allow / deny полезен, но iptables находится на более низком уровне и может работать со всеми программами. davidgo 6 лет назад 1

Похожие вопросы