KVM VPS的安全安装？

Question

这个问题也被问及服务器故障，但没有被认真对待。我希望这是个更好的地方

我将在KVM上安装Debian。启用了对控制台的VNC访问，通过在连接时嗅探网络流量，我看到VNC密码是加密的，但其他所有内容都是以纯文本发送的。通过在安装过程的早期加载“网络控制台”组件，可以通过SSH远程安装Debian。配置网络后，对话框将询问“远程安装密码”。

然后，我可以使用ssh installer@x.x.x.x连接到安装，并通过加密连接继续安装。但是，远程安装密码必须在通过VNC连接时输入，因此以纯文本发送。如果攻击者嗅探密码，就会危及安装。

在这种情况下，避免攻击者破坏安装的最佳方法是什么？

在输入远程安装密码之前，可以执行shell。但是，安装环境非常有限，因此可用的命令很少。我认为最好的选择是将SSH连接限制在我的IP地址上，但这似乎是不可能的。

我考虑过的另一个选项是在输入远程安装密码后快速连接到安装，然后从/etc/阴影中删除"installer“用户，从而避免其他人登录，但不确定这是否足够安全。我希望还有更多的选择是我没有想到的。

Answer 1

想必你所说的KVM是指KVM而不是KVM。

因此，在这种情况下，您应该有一个Linux主机和N台虚拟机，可以通过VNC访问。

如果您的Linux主机不受信任，那么没有人能够拯救您。因此，我们假设不能在内核中嗅探网络流量。因此，在这种情况下，SSH-ing到服务器，并通过SSH隧道转发VNC连接，有效地加密了从服务器到您自己机器上的SSH控制台的流量。

虽然隧道两端的VNC连接是未加密的，第一个是在您自己的计算机上(大概是可信的)，而第二个端在Linux服务器上的内核中(大概也是可信的)，而通过网络发送的VNC通信没有一点；它停留在SSH隧道内。