Не ми се иска да отворя ssh за света. Първо VPN, тогава SSH. Вкъщи всичко ми е зад VPN, като се вържа в него, чак тогава останалото. Но някои ресурси са видими само за LAN.
Що, кво ще стане ако отвориш ssh за света?
Една крачка по- малко до сървъра, какво толкова? Плюс това, в рутера режa всичко, което не идва на VPN още в prerouting. Имах един такъв колега оптимист, вярно ползвал слаба парола, вместо сертификат или двуфакторен, но му бяха брутнали сървъра и беше заботил. Количеството изтекли пароли е огромно, вече съм виждал няколко мои от преди десетина години.
Иначе предпочитам SSH + VPN и защото мога да си рутирам целия трафик към вкъщи чрез VPN-а, а не само чорапите на SSH. Понеже ползвам и други неща, VPN-а ми върши работа. Всичките ми ресурси в ажура минават през VNet, част от който е и към вкъщи. Просто VPN-а ме връзва в мрежата и от там си действам каквото искам, а не някакъв сървис и от някаква си машиня някъде си да се довръзвам до останалото.
Всъщност не се изразих правилно, предпочитам удобствата на VPN.
Ма ти от некакви секюрити съображения ли тва? Бах. Голямо значение няма напротив на колко нелогично ти се струва на първо време. Първо, и openvpn сървъра и sshd-то ако случайно се окаже че има некаква грандиозна подмолна простотия водеща до remote execution у демона, водят до точно едно и също и това не е толкова неочакван. Малко подобно е на казуса "sudo chep; sudo zele..." vs "su - ...;chep; zele ^D". Рут акаунта вреден, ще го деактивираме и вече прайм всичко през sudo. Убу де, но както при повечето революции, нещата вземат да се израждат. Така имаме няколко на практика суперакаунта, но да все пак нали sudo позволява повече гранулярност и затова гледаш изпълнения. То само като се логнеш на такава машина с повече от няколко юзъра където властва убунтувщината, четеш sudoers и почваш да се хилиш. Имаше един пич навремето ръгнал suidperl там и се чудя що за олигофрения, мое ли да е толко прост, обаче после се замислих че може би все пак е някакъв тънък убунтувски хумор с не толкова тънък намек че тоя е от суперакаунтите. Както и да е, стане някаква такава тъпотия и оттам нататък няма значение.
От криптографска гледна точка също не си правиш особено голяма услуга. Да речем и VPN тунела и ssh-то ползват (за удобство) и двете aes256, детското наивно усещане би било че ефективната сигурност е като ключа да има ентропия 256+256=512 бита, нали така. Естествено не - хипотетичните свръхсили на злото първо биха атакували ключа на vpn-а (поради тва че има предвидими IP хедъри дето са криптирани само от тунела, crib да го кажем). След като го имат, ще атакуват вече ssh ключа, следователно максимум 2^256+2^256 = 2*2^256 = 2^257 "опита" при брутфорса. Ама как така нали шяха да са 512, защо 257 - еми така, изглежда като да не е толкова странно май. Значи файдата не кой знае каква и надали си заслужава похабената честотна лента от овърхеда на тунела.
А и рутирането на трафик през тунела (да, ясно че в някои случаи е удобство дето ssh тунелирането изобщо не може да ти го даде) в крайна сметка е като голямо дебело розово еврогейско дилдо от тея с два края. Т.е несъмнено може да е много удобно, но несъмнено може да се преебеш без да искаш да изкарваш трафик през където не трябва. Аз до работата VPN-а обикновено му набивам статични маршрути само за няколко мрежи (с доста орязан префикс) дето ми трябват, нищо останало никога не минава през тунела. Но да де, когато vpn концентратора е вкъщи, тогава точно това не стои като проблем, има други проблеми.
В крайна сметка обаче това със секюритито не би трябвало да е решаващ фактор така или иначе, дори е вредно човек да се замисля много за такива простотии защото най-много да сътвори некаква тъпотия, колкото и да е умен, даже май колкото е по-умен, толкова по-големи тъпотии натворява.