在公共IP上的跨越--仅限于VPN是否值得？

Question

我有点不好意思问这个问题，因为我自己搞不清楚。

我在开放的Internet上的公共VPS上运行一个vaultwarden实例(开放源代码位管理员)。它是使用具有适当的SSL终端和LetsEncrypt证书的nginx反向代理正确设置的。我还启用了yubikey所需的访问。

我应该没事的。

尽管如此，我还是想知道为什么我应该有一种只对我(也可能是我的妻子)才能上网的服务。

我想我可以启用客户端证书身份验证，但我不确定在客户机上设置它有多容易。

因此，我想知道--在VPS上安装类似VPN的设备，并在VPN后面运行服务是否有意义--如果这是可能的话，因为它只是一个盒子而不是一个网络？

或者你能想出其他的解决办法吗？基本上，理想的情况是，该服务只能由少数人访问，但可以从任何地方访问(因此，基于IP的服务不是一种选择)。如有任何建议，将不胜感激。

Answer 1

我个人主持了一个拱顶服务器。我最近了解到这个服务是端到端加密的。这意味着即使在数据库损坏的情况下，黑客也无法解密存储的密码。问题在于，用户连接可能被破坏(假DNS，保存cookie等)，我个人选择与我的合作伙伴限制访问我们的拱顶服务器到我们的VPN。这确保DNS由VPN选择，而不是由她的个人计算机选择。然而，我越来越多地考虑取消VPN的限制。这是非常用户沉重。我是永久连接到VPN，它不影响我。但我的女朋友，谁经常使用流媒体服务，必须禁用VPN。这剥夺了她进入拱顶的权利。