Abra SFTP en el servidor principal, ¿de forma segura?

1

Necesitamos abrir un SFTP para permitir que algunos de nuestros clientes carguen archivos en nuestro servidor. Como lo veo ahora mismo, hay dos opciones:

  1. Abra SFTP en nuestro servidor principal con restricciones (directorio, usuario, tamaño, etc.).
  2. Cree un micro servidor que solo responda a SFTP y suba los archivos a un S3 que nuestro servidor principal pueda leer.

La opción 1 es más rápida y fácil de mantener. La pregunta es, ¿cómo puedo asegurarme de que sea seguro?

Las medidas de seguridad que quiero tomar son las siguientes:

  1. Ejecute el SFTP con un usuario restringido.
  2. Limite SFTP a una sola carpeta.
  3. La carpeta de 2 estará en un volumen secundario y no en nuestro volumen principal, solo para asegurarse de que no se llene.

Encontré estas instrucciones: enlace que parecen cubrir casi todo lo que planeo. La única diferencia es que la dirección en la que estoy encerrando al usuario estaría en un volumen diferente.

Ahora, esta es la pregunta : ¿crees que el plan anterior es lo suficientemente seguro? ¿Hay algún peligro de seguridad que me esté perdiendo aquí o tal vez piense que abrir un SFTP en el servidor principal es completamente insano y debería evitarse a toda costa?

    
pregunta Ronen Ness 09.02.2017 - 10:52
fuente

1 respuesta

1

Creo que cada servicio debe estar separado. IDK si tiene la posibilidad de crear diferentes máquinas virtuales o configurar diferentes servidores para cada servicio que sea más seguro. Tan simple como si fueras hackeado, solo esa máquina fue hackeada. Mezclar servicios en la misma máquina no suele ser buena idea. Por supuesto, depende del entorno, el objetivo y la estructura.

De todos modos, si es algo que sabes que no es lo mejor pero que se va a hacer, intenta asegurarlo:

  • Cambia el puerto estándar. < - esta práctica no es una muy buena protección ... sabes si el servicio se mostrará de todos modos, pero quizás puedas evitar el análisis de algunos bots.
  • Restrinja (en la lista blanca) los ips. Trate de permitir sólo ciertas direcciones IP. < - Esto no se puede hacer siempre, depende de si sus clientes van a ser siempre los mismos o si tiene clientes itinerantes.
  • Si su hardware o firewall lo admite, use detonación de puertos . < - esto es bueno para este tipo de situaciones.

Resumen de lo que son las detonaciones de puertos :

Es un método de comunicación entre dos computadoras / dispositivos. A primera vista, cuando el cliente solicita un servicio al servidor, el puerto se muestra como cerrado, pero si solicita ciertos puertos (una combinación de ellos en un orden específico), entonces se abre el puerto. Este proceso de detonación es lo que le da al puerto su nombre.

¡Buena suerte!

    
respondido por el OscarAkaElvis 09.02.2017 - 12:05
fuente

Lea otras preguntas en las etiquetas