Как оградить ESXi от мира?

Question

[Fiftydotov]

Всем привет, возник довольно сложный вопрос.

Взял на Hetzner хост, накатил ESXi, спрятал его за DNS на CF, автоматом прилетел доверенный сертификат, все прекрасно. Но по ip сертификата понятное дело нет, и открыв на час ssh, поделав в нем пару манипуляций, я потерял доступ к серверу. Хз, может я где то накосячил с сертификатами, когда пытался их подсунуть, но по тому паролю, что задал root больше войти нельзя.
Ну и скорее всего придется заново накатывать ESXi.

Уже сделал в Hetzner whitelist на сервера cf и на свой офис, как бэкдор для себя, а для остального мира закрыл. А вот теперь вопрос: как себя еще обезопасить? Приходит на ум ssl сертификат для авторизаций по ssh, но я так и не нашел адекватной инструкций и какой сертификат использовать и какой вставлять для этого, если есть гайд, то буду признателен.

Answer 1

[Армянское Радио]

SSL не имеет отношения к SSH, у него своя безопасность, основанная на RSA/DSA ключах. Количество гайдов по настройке входа в SSH по ключу RSA - вагон.

Большого смысла ограничивать доступ по IP адресам при наличии ключей лично я не вижу, а вот риск остаться с носом при смене IP таки есть.

Comments

[Fiftydotov]

Насчёт SSH спасибо.

IP статичен от пройдера, в любом случае можно на hetzner сменить ip на нужный. Но больше нет механизмов защиты, кроме приведённых выше, как я понимаю?

[Армянское Радио]

Fiftydotov, нагородить можно много чего, port knocking к примеру интересен.

Но стандартное ключ + fail2ban работают достаточно уверено, пока вы не потеряете ключ или в ssh не найдут 0day