V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
afirefish
V2EX  ›  程序员

请教将服务器控制面板映射到公网是否安全?

  •  
  •   afirefish · 267 天前 · 1896 次点击
    这是一个创建于 267 天前的主题,其中的信息可能已经有所发展或是发生改变。

    手里面有一台服务器,用的 PVE 作为虚拟化底层,因为服务器和我不在同一位置,有可能需要时不时登录 pve 后台进行管理。 现在的方案是采用 frp 将 pve 后台映射到公网一台服务器上面,使用域名访问并配合 web 基础认证。想请教一下这种方案是否安全?

    18 条回复    2021-02-03 12:10:25 +08:00
    masha
        1
    masha   267 天前   ❤️ 1
    不能保证你这个后台登录认证没有漏洞。如果一定要暴露,推荐非常用端口+自定义 web 目录,别是 /admin 、/login 之类的,不被扫到就相对安全点。
    Juszoe
        2
    Juszoe   267 天前   ❤️ 1
    如果只有你一个人访问这个网页的话,推荐用 frp 的 stcp 功能
    msg7086
        3
    msg7086   267 天前 via Android   ❤️ 1
    我 PVE 就是放公网的,暂时没遇到过问题。注意 root 密码复杂一些就行,比如 24 位随机字符。
    yuanmomo
        4
    yuanmomo   267 天前   ❤️ 1
    frp 的公网服务器,监听 127.0.0.1,然后端口不要对外开放。

    然后用 SSH tunnel 做一个转发,SSH 使用公钥登陆,我自己就是这么操作的。家里的 路由,nas,都是这样访问的。
    woshijidan
        5
    woshijidan   267 天前 via Android   ❤️ 1
    vpn 回去到服务器内网再远程相对安全,frp 也会有一定的风险
    huobazi
        6
    huobazi   267 天前   ❤️ 1
    再加一个跳板机
    Tink
        7
    Tink   267 天前 via Android
    最好不要
    Markxu0
        8
    Markxu0   267 天前
    VPN,连上 VPN 再去操作,风险更低
    RickyHao
        9
    RickyHao   267 天前 via Android   ❤️ 1
    大不了整个服务最外面套一层 basic auth,密码复杂点就行
    boboliu
        10
    boboliu   267 天前
    套一层登录鉴权最好
    idragonet
        11
    idragonet   267 天前
    frp 可以二次加密
    lu5je0
        12
    lu5je0   267 天前
    需要操作的时候,用 ssh 转发端口吧,比较方便
    eason1874
        13
    eason1874   267 天前   ❤️ 3
    自用的解决方案就简单了,在 Nginx server 段检查指定 cookie 或者 header,不匹配直接拒绝,比如:

    if ($cookie_fishsayhi != "blue,blue") { return 403; }

    只要别泄露 cookie 名和值被人针对性渗透,啥机器扫描都碰不到你的后台。自己登录就在浏览器 console 或者通过扩展设置这个 cookie 就行了。当然后台登录验证还是不能少的,这个相当于外围防火墙。
    superrichman
        14
    superrichman   267 天前 via iPhone   ❤️ 1
    web 那里再加个 fail2ban 防爆破 基本没有问题
    zjqzxc
        15
    zjqzxc   267 天前
    这就是 V 某 N 的最初用途也是标准用途了
    afirefish
        16
    afirefish   267 天前
    @masha
    @Juszoe
    @msg7086
    @yuanmomo
    @woshijidan
    @RickyHao
    @eason1874
    @superrichman
    非常感谢,打算采用域名 /随机字符串,再套用一层 basic auth 的方式。
    SenLief
        17
    SenLief   267 天前
    一般情况下没人扫的。
    qwerthhusn
        18
    qwerthhusn   266 天前
    开 TLS 客户端认证就行了
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1315 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 23:29 · PVG 07:29 · LAX 16:29 · JFK 19:29
    ♥ Do have faith in what you're doing.