Proxmox 主機和虛擬機上 SSH 訪問的正確安全設計
我知道為了安全起見,一個人必須始終戴著偏執的帽子。
我的場景:
我將在 Proxmox VE 上安裝 3 個 KVM 虛擬機
- Apache/Tomcat 伺服器
- 執行mysql的伺服器
- 執行 mongod 的伺服器
- 所有這些虛擬機都將禁用直接根登錄,並且將僅使用密碼片語 ssh 密鑰。他們每個人都將安裝 CSF 防火牆引擎,並允許基於 ip 和埠的流量。
現在的問題
當主機伺服器將與提供者位於同一地點時,我有 3 種選擇來設置遠端登錄。
選擇 1
一種。直接從網際網路啟用對所有機器的 SSH 訪問,這裡的風險是我不想將 mysql、mongodb 和 App 伺服器直接暴露給外界,即使它只是 passprhrase-protected-ssh-key。
選擇 2
一種。僅對 Proxmox 主機啟用 SSH,然後在此處儲存我的 ssh 密鑰。這看起來很可怕,任何入侵我登錄 Proxmox 的人都將擁有所有機器的密鑰(即使它們受到密碼保護)
選擇 3
一種。在另一個虛擬機/路由器上創建一個 openvpn 並允許防火牆規則僅授予對具有該 VLAN 段的虛擬機的 ssh 訪問權限,這樣我就可以將 SSH 密鑰儲存在我的筆記型電腦/電腦上,而不是任何伺服器上。
我是一家初創公司,在管理 linux 伺服器方面的人才非常有限。我可以在 linux 中導航並且不太擅長 sys admin 的東西,但是在過去幾週限制訪問和全面加強 linux 系統的過程中閱讀了足夠多的 linux 安全性。我只想遵循規則,只使用/安裝那些絕對需要的工具。
第二個問題我也想知道這是否正確 - 我的偏好是預設停止 Proxmox 的 Web 界面,並根據需要啟動/停止 apache2 為該 Web 界面提供服務。因為 apache 介面非常強大,並且可以直接提供控制台訪問每個虛擬機,而無需任何 SSH 密鑰
任何想法和一般建議或指示也非常歡迎。
我從您的文章中了解到,您希望保護您的伺服器免受 SSH 攻擊。保護伺服器的簡單方法是在 proxmox VE 和 VM 中配置 Fail2ban。Fail2ban 將阻止 ssh 攻擊並阻止最大錯誤密碼嘗試的 IP。嘗試一下。繼續使用 Fail2Ban。