Дзен и искусство ухода за Arch Linux (10)
1.3. Защитите удалённый компьютер.
...Однако оставляя консольный доступ, вы создаёте обходной путь мимо вашей строгой SSH-политики (ключи + IP). Если этот путь защищён слабо, все ваши усилия по SSH теряет смысл.
Слабый пароль на IPMI / iDRAC, устаревшая прошивка с известными уязвимостями, отсутствие двухфакторной аутентификации, консоль доступна без VPN, логирование не настроено...
Консольный доступ -- это просто страховка на случай катастрофы. Вы случайно заблокировали сами себя через sshd_config (опечатка, не те права :), потеряли приватный ключ, SSH-сервер висит или упал, атака вывела SSH из строя...
Без консоли в таких случаях сервер скорее всего придётся переустанавливать, и в целом всё на милость техподдержки (возможно, только через личное присутствие).
Правильные подходы:
Консоль только через VPN / выделенную сеть
Отдельные учётные данные, не совпадающие с SSH
Длинный пароль
Никакого root / admin / password
IPMI/iDRAC не должен смотреть в интернет
Двухфакторная аутентификация (если поддерживается)
Аудит и логирование всех входов в консоль
Мониторинг: оповещение при входе в консоль