几个月前,当我提议我们将端口 12xyz 转发到内部 SSH 服务器时,我与一个人发生了争执。
目标服务器的绑定方式类似于@stribika 在https://stribika.github.io/2015/01/04/secure-secure-shell.html推荐的方式。具体来说,没有 root 访问权限,仅公钥身份验证,非标准 ssh 端口,高质量密码、kex 和 mac。
我的论点是转发端口本身并不危险,安全性取决于目标端口的服务。我认为我的方法是一种非常安全的远程访问方式。他强烈认为事实并非如此,并指出 VPN 隧道是实现远程访问的唯一安全方式。
谁是对的?