это не тот dmz, о котором вы подумали. это dmz в терминологии бытовых роутеров, просто перенаправление всего несматченного трафика на один айпи из домашней сети. т.е. отдельного изолированного сегмента сети в этом случае не создаётся.
Не позволяет использовать средства автоматизации, работающие по ssh (тот же ansible).
ничто не мешает держать дополнительный ssh-сервер внутри периметра, который уже не будет закрыт 2fa(2fa на джамп-сервере или vpn). или, например, использовать ансибл в роли псевдоагента, т.е. на каждом хосте проливать локалхост ансиблом.
Не даёт очевидных преимуществ перед просто использованием ключа в плане защиты от атак.
в случае компрометации ключа можно получить моментально контроль над всеми хостами, где прописан ключ.
в случае с 2fa, слитые ключ или парольная фраза не такая уж и проблема, 2fa остаётся не скомпрометирован, можно неторопливо заменить пароль/ключ.
Не даёт очевидных преимуществ перед просто использованием ключа в плане защиты от атак.
даёт, например, ключ можно сфорвардить на зараженном сервере и получить доступ к другим хостам.
Например, если в сохранности ключей у тех, кому они раздаются, есть обоснованные сомнения.
напоровшись на зироудей в установленном софте даже человек, в котором нет сомнений, может запросто отдать свой ключ.
ps не пользую 2fa помимо работы(например, дома), но одобряю.
Я во всей статье не понял лишь одного, а на кой, простите, вы ваш nas засунули в dmz? Т.е. на мой взгляд проблема даже не в том, что словарный пароль на ssh и не выключен вход по паролю, а именно dmz.
привет из 2019-го, в 2015-м Fully integrated voltage regulator из процов интел был благополучно выкинут и до сих пор не вернулся. правда, сокет поменять еще разок это опять не помешало.
а все ли роутеры из сравнения не идут в комплекте с 3g/4g-антеннами? если это не так, то почему это не указано? учитывая стоимость антенн, это может иметь решающее значение.
с отдельной платной подпиской можно иметь выходную ноду, которая будет терминировать несколько каналов в одной выходной точке.
опять же, обрыв всех соединений при переключении с симки на симку для железки, подразумевающей установку на транспорт — очень прохладная история.
я в один день обновлял 12.04 на 14.04 и далее на 16.04. не так уж это и долго было, учитывая что на старых ноутбучных хардах дело происходило. а вот когда убунта бодро сказала что на openvz-ядре 2.6.32 системд не работает — стало грустновато. хорошо был upstart в виде запасного инита, спасибо убунте за это.
обновляю убунту(без гуя) i386 на своих сервачках-роутерах домашних уже 8 лет. за это время переполз с 10.04 LTS, на 12.04 и 16.04. сейчас обновился на 18.04 LTS всё так же работает. правда были какие-то глупые косяки, но вроде достаточно трививально починилось.
есть фото с лица?
(combo braker)
ничто не мешает держать дополнительный ssh-сервер внутри периметра, который уже не будет закрыт 2fa(2fa на джамп-сервере или vpn). или, например, использовать ансибл в роли псевдоагента, т.е. на каждом хосте проливать локалхост ансиблом.
в случае компрометации ключа можно получить моментально контроль над всеми хостами, где прописан ключ.
в случае с 2fa, слитые ключ или парольная фраза не такая уж и проблема, 2fa остаётся не скомпрометирован, можно неторопливо заменить пароль/ключ.
даёт, например, ключ можно сфорвардить на зараженном сервере и получить доступ к другим хостам.
напоровшись на зироудей в установленном софте даже человек, в котором нет сомнений, может запросто отдать свой ключ.
ps не пользую 2fa помимо работы(например, дома), но одобряю.
опять же, обрыв всех соединений при переключении с симки на симку для железки, подразумевающей установку на транспорт — очень прохладная история.