请教将服务器控制面板映射到公网是否安全?

2021-02-02 17:39:00 +08:00
 afirefish

手里面有一台服务器,用的 PVE 作为虚拟化底层,因为服务器和我不在同一位置,有可能需要时不时登录 pve 后台进行管理。 现在的方案是采用 frp 将 pve 后台映射到公网一台服务器上面,使用域名访问并配合 web 基础认证。想请教一下这种方案是否安全?

3094 次点击
所在节点    程序员
18 条回复
masha
2021-02-02 17:45:21 +08:00
不能保证你这个后台登录认证没有漏洞。如果一定要暴露,推荐非常用端口+自定义 web 目录,别是 /admin 、/login 之类的,不被扫到就相对安全点。
Juszoe
2021-02-02 17:47:25 +08:00
如果只有你一个人访问这个网页的话,推荐用 frp 的 stcp 功能
msg7086
2021-02-02 17:49:09 +08:00
我 PVE 就是放公网的,暂时没遇到过问题。注意 root 密码复杂一些就行,比如 24 位随机字符。
yuanmomo
2021-02-02 18:00:52 +08:00
frp 的公网服务器,监听 127.0.0.1,然后端口不要对外开放。

然后用 SSH tunnel 做一个转发,SSH 使用公钥登陆,我自己就是这么操作的。家里的 路由,nas,都是这样访问的。
woshijidan
2021-02-02 18:10:26 +08:00
vpn 回去到服务器内网再远程相对安全,frp 也会有一定的风险
huobazi
2021-02-02 19:16:04 +08:00
再加一个跳板机
Tink
2021-02-02 19:20:05 +08:00
最好不要
Markxu0
2021-02-02 19:36:14 +08:00
VPN,连上 VPN 再去操作,风险更低
RickyHao
2021-02-02 19:47:55 +08:00
大不了整个服务最外面套一层 basic auth,密码复杂点就行
boboliu
2021-02-02 19:50:41 +08:00
套一层登录鉴权最好
idragonet
2021-02-02 20:06:02 +08:00
frp 可以二次加密
lu5je0
2021-02-02 20:26:11 +08:00
需要操作的时候,用 ssh 转发端口吧,比较方便
eason1874
2021-02-02 20:28:28 +08:00
自用的解决方案就简单了,在 Nginx server 段检查指定 cookie 或者 header,不匹配直接拒绝,比如:

if ($cookie_fishsayhi != "blue,blue") { return 403; }

只要别泄露 cookie 名和值被人针对性渗透,啥机器扫描都碰不到你的后台。自己登录就在浏览器 console 或者通过扩展设置这个 cookie 就行了。当然后台登录验证还是不能少的,这个相当于外围防火墙。
superrichman
2021-02-02 20:34:08 +08:00
web 那里再加个 fail2ban 防爆破 基本没有问题
zjqzxc
2021-02-02 21:02:35 +08:00
这就是 V 某 N 的最初用途也是标准用途了
afirefish
2021-02-02 21:03:40 +08:00
@masha
@Juszoe
@msg7086
@yuanmomo
@woshijidan
@RickyHao
@eason1874
@superrichman
非常感谢,打算采用域名 /随机字符串,再套用一层 basic auth 的方式。
SenLief
2021-02-02 21:19:52 +08:00
一般情况下没人扫的。
qwerthhusn
2021-02-03 12:10:25 +08:00
开 TLS 客户端认证就行了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/750688

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX