Eu trabalho para uma pequena empresa que até recentemente tinha um pequeno número de servidores dedicados hospedados por uma empresa de hospedagem em IPs públicos. Para gerenciar todos os nossos sites internos, usamos túneis SSH e o site apache servindo apenas ao host local.
Recentemente, como estamos expandindo a quantidade de túneis que temos que usar, está começando a ficar um pouco louco e estamos procurando outra solução. Queremos que alguém acesse um servidor e tenha acesso a outros servidores (em IPs públicos) por meio de uma conexão segura. Todos os servidores executam o Ubuntu ou o Debian.
Que tipo de soluções devemos analisar? Podemos configurar uma VPN para melhorar essa configuração?
Você pode fazer muito pior do que usar OpenVPN em um caso como este; É muito simples de configurar (desde que você possa criar uma Autoridade de Certificação SSL, mas há muitos bons writeups sobre isso) e há suporte para muitos clientes - múltiplas plataformas e múltiplas implementações.
Você precisaria modificar todos esses sites internos para ouvir na interface de rede interna, em vez de apenas localhost, também.
Você pode simplesmente usar TCP wrappers e permitir que o servidor "central" tenha acesso SSH a todos os outros servidores, adicionando seu IP a /etc/hosts.allow .
Não é ideal em termos de segurança, ter uma caixa capaz de fazer login em qualquer lugar, mas se você considerar isso como um host "bastião" e protegê-lo corretamente, não é o fim do mundo.
Se tudo o que você quer é acessar sites, provavelmente seria melhor proteger o acesso no nível do Apache. Isso é o que SSL / TLS é para. Mesmo a autenticação básica sobre SSL é bastante segura (com senhas strongs). E o Apache pode ser ajustado para verificar os certificados do cliente.