Разоблачение ресурсов с моего домашнего сервера
У меня есть небольшой VPS (Ubuntu 16.04), который я использую для размещения нескольких личных веб-сайтов, ownCloud и т. Д. Он довольно медленный и не занимает много места. Я бы хотел перенести хранилище ownCloud и базу данных MySQL, в основном что-либо ресурсоемкое, на мой домашний сервер (Ubuntu 17.10), не открывая мою домашнюю сеть более, чем это абсолютно необходимо.
Какой лучший способ сделать это с точки зрения безопасности? Есть три варианта, которые я могу придумать:
- Выставляйте MySQL и NFS на нестандартные порты, все брандмауэры, кроме IP-адреса VPS.
- Установите SSH-туннель, направьте весь MySQL и NFS-трафик через туннель.
- Настройте VPN, тоже самое.
В случаях 2 и 3 меня беспокоит то, что, если мой VPS скомпрометирован, я могу в конечном итоге раскрыть больше своей домашней сети, которую я намереваюсь - это VPS, который решает, на какие удаленные порты /IP-адреса он будет туннелировать, так что после туннелирования настроен, любой злоумышленник может добавить новые туннели.
1 ответ
Вариант 3 (а вариант 2 - это особый случай варианта 3) - это, безусловно, путь.
Он обеспечивает большую безопасность, чем вариант 1, и вы больше не рискуете поставить под угрозу свой домашний сервер, чем использовать вариант 1, но вы можете быть уверены, что данные зашифрованы, в отличие от варианта 1, который является очень слабой версией безопасности. через неизвестность.
Один из способов справиться с этим - установить соответствующие VPS на моем домашнем сервере, и, таким образом, если бы VPS за пределами сайта был скомпрометирован, и они могли бы каким-то образом использовать это для компрометации, чтобы обеспечить повышенный доступ к вашему домашнему серверу - они все равно были бы в VM.