เรามีอินสแตนซ์เซิร์ฟเวอร์สามรายการ ได้แก่ Nginx/PHP, PostgreSQL และ ELK stack แนวคิดของฉันคือเซิร์ฟเวอร์ PHP จะอนุญาตให้สาธารณะเข้าถึงพอร์ต 22, 80 และ 443 เซิร์ฟเวอร์ ELK จะมีพอร์ตเปิด 5601 สำหรับการเข้าถึงสาธารณะ แต่การสื่อสารอื่นๆ ทั้งหมดจะได้รับอนุญาตผ่านที่อยู่ IP ส่วนตัวเท่านั้น
ฉันจำเป็นต้องซ่อนทั้งหมดไว้หลัง VPN ด้วยหรือไม่ ประโยชน์ของสิ่งนั้นคืออะไร? VPN นั้นไม่มีจุดประสงค์อื่นใด ไม่ใช่สำหรับทั้งบริษัทหรืออะไรทำนองนั้น มีไว้เพื่อความปลอดภัยของเซิร์ฟเวอร์เหล่านั้นเท่านั้น
ขึ้นอยู่กับ. มักจะเป็นที่ถกเถียงกัน
ครอบครัว BSD มี บัญชีดำซึ่งเหมาะสำหรับการกรอง bruteforcer/scanners บนชั้นแอปพลิเคชัน Linuxes นั้นหยิ่งผยอง ดังนั้นพวกเขาจึงมีแต่ Python Framework ที่แปลกประหลาดเท่านั้น ล้มเหลว 2 แบนซึ่งในความคิดของฉัน ควรถูกปฏิเสธระหว่างอัลฟาเทสต์ และไม่ได้รับอนุญาตให้เข้าสู่การติดตั้งระดับการผลิตใดๆ
ในทางกลับกัน หากคุณไม่อนุญาตให้รูทเข้าสู่ระบบผ่าน ssh (ซึ่งเป็นตัวเลือกความปลอดภัยตามปกติ) แสดงว่าคุณมีสิ่งกีดขวาง bruteforce เพิ่มเติม (อีกครั้ง การกระจาย Linux หลายตัวยืนยันว่ารูทควรจะสามารถเข้าสู่ระบบผ่าน SSH ได้) .
ยังคงเป็นที่ถกเถียงกันอยู่ วิศวกรบางคนชอบผูก sshd กับพอร์ตอื่นที่ไม่ใช่ tcp/22 แบบดั้งเดิม บางคนจะอนุญาต ssh ผ่าน VPN เท่านั้น (ดูนี่บอกเราเกี่ยวกับ ล้มเหลว 2 แบน แล้ว). นั่นเป็นทางเลือกส่วนบุคคล ตัวฉันเองไม่ได้ปิด tcp/22 บนเซิร์ฟเวอร์ของฉัน แต่ฉันใช้นโยบายรหัสผ่านและไม่อนุญาตให้รูทเข้าสู่ระบบผ่าน SSH บางคนอาจบอกว่าฉันเดินบนขอบ ฉันพูดว่า - การใช้ ssh กับ tcp/2202 เป็นการทรมานตัวเอง
เซิร์ฟเวอร์ควรซ่อนอยู่หลัง VPN สำหรับการเข้าถึง SSH หรือไม่
อาจจะ. แอปพลิเคชันที่มีการรักษาความปลอดภัยสมัยใหม่ไม่จำเป็นต้องใช้ VPN โดยไม่มีเหตุผล คำศัพท์ยอดนิยมสำหรับการตระหนักว่าขอบเขตของเครือข่ายไม่ได้ทำให้ทุกอย่างปลอดภัยโดยอัตโนมัติคือ "ความเชื่อถือเป็นศูนย์"
ไม่จำเป็นต้องใช้ที่อยู่ IP ส่วนตัวเพื่อความปลอดภัย พิจารณากฎไฟร์วอลล์ที่จำเป็นหากโฮสต์ทั้งหมดมีที่อยู่สาธารณะ (IPv6) อนุญาต tcp/22 จากทุกที่สำหรับการเข้าถึงโดยตรงด้วย ssh และอนุญาต 443/tcp จากที่ใดก็ได้สำหรับเว็บเซิร์ฟเวอร์ แต่ 5432/tcp จะต้องได้รับอนุญาตจากโฮสต์ของคุณที่ต้องการการเข้าถึงฐานข้อมูล ไม่ใช่อินเทอร์เน็ตโดยทั่วไป ในอดีต ssh และ http เปิดเผยต่อสาธารณะมากกว่า ดังนั้นควรเปิดเผยเว็บแอป ไม่ใช่เซิร์ฟเวอร์ฐานข้อมูล
แน่นอนรักษาโฮสต์เหล่านี้เพื่อให้พวกเขาปลอดภัยติดตามข่าวสารล่าสุดเกี่ยวกับการอัปเดตด้านความปลอดภัย ใช้การรับรองความถูกต้องที่รัดกุม เช่น คีย์ ssh ตรวจสอบการเข้าถึง โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่มีสิทธิพิเศษ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
