Как организовать безопасную связь между своими серверами?

Question

[Владимир Шикльгрубер]

Привет. Делаю я одну интересную сеть. Её суть в том что я все свои проекты связываю одной админкой, (в адмнке тупо организовано куча админок, работаю с api удалённых своих сайтов) Всё работает прекрасно. Теперь вопрос самый такой неприятный для меня... Как можно обезопасить эти api? Мне надо что бы:
- апи работало только со своим сервером (основная админка на отдельном серваке)
- нужно как то шифровать всё что передаю. Думаю в сторону xxtea. Только будет три ключа и всё через if (возможно бред, но не чего круче не придумал) в этом минус большой очень... Попадут в файловую систему и конец защите... через ключ можно будет дёргнуть всё что только душа пожелает
Думал rsa но так и не смог организовать его...

Answer 1

[Alex]

Может, объединить сервера в сеть посредством VPN? VPN слушает на том порту, который прописан в конфиге. Какой траффик пускать через VPN можно настроить файрволлом (например, iptables). А можно пустить через VPN весь траффик. Для того, чтобы объединить сервера в VPN-сеть, нужно выбрать, какой из серверов будет «центральным» — сервером VPN. Пусть он выдаёт остальным сертификаты.

Comments

[Владимир Шикльгрубер]

тоже идея. но как на пхп организовать не знаю. В случае екстремально быстрого переезда с сервака на сервак довольно сложно будет (сайты чёрной тематики) плюс vpn не работает на специфических портах. К примеру сейчас сайт работает на 7318 порту а завтра порт меняется и домен раз в неделю новый. С vpn гемора много выйдет

Answer 2

[FanatPHP]

Модеры, закройте уже этого гитлера.
В посте мат, в вопросе "сайты черной тематики", в голове мусор.
Вам самим не противно об это мараться?

Comments

[Владимир Шикльгрубер]

девочка обиделась. Подожди запустил поиск. Просто инфы около терабайта на куче серверов так что придётся подождать.

[Владимир Шикльгрубер]

И во вторых моя фамилия не имеет не какого отношения к Гитлеру! Просто однофамильцы или хз

[FanatPHP]

сказки рассказывай свое бабушке

[Владимир Шикльгрубер]

FanatPHP: скриншот кинуть?))

[FanatPHP]

только дурачка не надо из себя строить

[Владимир Шикльгрубер]

FanatPHP: вот стати принцип возможно только спуфить его на udp на этапе коннекта и син спуфинга ну а за скриптом стучи мне на мыло

[FanatPHP]

по голове себе постучи

[Владимир Шикльгрубер]

FanatPHP: аахах. не знаешь что можно не пиши детка. ))) наводка CURLOPT_INTERFACE

[Александр Таратин]

FanatPHP: Товарищ Владимир так уверен, что это пошатнуло мою веру в свои скудные знания, но разве CURLOPT_INTERFACE используется не для выбора сетевого интерфейса, например если воткнуто несколько сетевых карт?

Answer 3

[Максим Кудрявцев]

Как уже выше рекомендовали, одно из возможных решений - организовать VPN меж серверами и Вашей админской машиной. Ключевое слово для гугла OpenVPN, далее голова + руки Вам в помощь.

Как второй вариант, если тематика "темная", то скорей всего требует повышенной защиты от Вашей деанонимизации. Здесь присмотритесь к сети Tor и его луковичной маршрутизации. Технически - поднимайте relay-ноду(это слово для гугла) на Ваших серверах и будет Вам счастье. Здесь только одна загвоздка - Ваш ресурс будет виден только в onion-пространстве.

Насчет портов - да вообще-то веб-сервер и OpenVPN можно посадить на любые порты. Детали не подскажу, но к примеру apache со стандартного 80 порта почти все хостинг-провайдеры выносят на 8080, а на сам 80 ставят nginx. Для остальных приложений аналогичное проблемой не должно быть.

Comments

[Владимир Шикльгрубер]

спасибо!

Answer 4

[Влад Животнев]

VPN, https, ограничение по ip, авторизация по сертификатам. Выбирайте любые 2 и сочетайте.