Ressourcen von meinem Heimserver freigeben

288
Mikkel

Ich habe ein kleines VPS (Ubuntu 16.04), das ich für das Hosting einiger persönlicher Websites, ownCloud usw. verwende. Es ist ziemlich langsam und hat nicht viel Speicherplatz. Ich möchte den ownCloud-Speicher und die MySQL-Datenbank grundsätzlich ressourcenintensiv auf meinen Heimserver (Ubuntu 17.10) laden, ohne mein Heimnetzwerk mehr als unbedingt notwendig zu öffnen.

Was ist der beste Weg, dies aus Sicherheitsgründen zu tun? Ich kann mir drei Möglichkeiten vorstellen:

  1. Stellen Sie MySQL und NFS auf nicht dem Standard entsprechenden Ports zur Verfügung, und Firewall außer der IP des VPS.
  2. Richten Sie einen SSH-Tunnel ein, leiten Sie den gesamten MySQL- und NFS-Verkehr durch den Tunnel.
  3. Richten Sie ein VPN ein.

Meine Sorge im Fall von 2 und 3 ist, dass, wenn meine VPS gefährdet ist, ich möglicherweise mehr von meinem Heimnetzwerk freigeben kann, als ich beabsichtige - es ist die VPS, die entscheidet, zu welchen Remote-Ports / IPs der Tunnel geleitet wird, also einmal der Tunnel eingerichtet ist, kann jeder Angreifer neue Tunnel hinzufügen.

0

1 Antwort auf die Frage

1
davidgo

Option 3 (und Option 2 ist ein Sonderfall von Option 3) ist eindeutig der Weg.

Es bietet mehr Sicherheit als Option 1, und Sie sind nicht mehr dem Risiko ausgesetzt, dass Ihr Home-Server gefährdet wird, als würden Sie Option 1 verwenden. Sie können jedoch sicher sein, dass die Daten verschlüsselt werden, im Gegensatz zu Option 1, bei der es sich um eine sehr schwache Sicherheitsversion handelt durch Dunkelheit.

Eine Möglichkeit, dies zu tun, besteht darin, geeignete VPS auf meinem Heimserver einzurichten. Wenn also der Off-Site-VPS gefährdet ist, könnten sie diesen Kompromiss irgendwie nutzen, um erhöhten Zugriff auf den Heimserver zu gewähren VM.

Vielen Dank. Am Ende habe ich Option 3 gewählt und mit `hosts.allow` /` hosts.deny` alle Firewalls außer den Diensten, die ich der VM zur Verfügung stellen wollte, gefeuert. Ich kenne keine Möglichkeit, das ssh-Tunneln zu aktivieren, ohne das Tunneln zu beliebigen Ports / IPs in meinem lokalen Netzwerk zuzulassen, so dass dies kein Starter war. Mikkel vor 6 Jahren 0
Sie sollten wirklich iptables verwenden, um Ihren Datenverkehr zu schützen - hosts.allow / deny ist nützlich, aber iptables befindet sich auf einer niedrigeren Ebene und kann mit allen Programmen umgehen. davidgo vor 6 Jahren 1

Verwandte Probleme