刚才有个小米的帖子发现找不到了。
在这里问下，很好奇出现这种情况。
理论上来说，我现在的服务器，把密码登录和 root 用户都关闭了。然后所有的用户只允许公钥登录，这样的话即便是端口走了做了映射，被暴露了，别人也无法登录啊？

想问下其他运维，作为初学者，仅仅做到我上面这些东西，应该就足够安全了吧？还有什么其他漏洞会被钻吗？
真想开除你，办公室喝水喝太多都可以作为理由

不要做映射
不要做映射
不要做映射
=========
假设你映射出去的应用权限够高又有漏洞，所在主机就容易被攻击。

不是，主要是被开了端口，只要开了外部访问的端口就有问题

安全是一个系统工程
并不是“只要做到了某一小项”就足够的

另外你是在用[私钥]登陆，公钥是放在服务器上的

这个是两回事啊。公网暴露端口，光我在 V2EX 潜水就看到不少网友自曝了。但是理论上我只要只允许公钥登录，就没有漏洞了啊。除非私钥也被别人给截取了，那个就厉害了。
因为我在家自学，我看运维第一步，基本都是关闭 root 登录，关闭密码登录，开启公钥登录。

问题不在于是做了端口映射，问题的关键在于“服务器被入侵”得有人担责，恰好“有人违反公司章程”
如果你们公司要求定期更换校验方式、要求设置防火墙、要求关掉一系列端口，就包括最常见的 redis 入侵，你没要求做，出了问题一样有人要背锅

你这是在锯开水桶的木板

我再拓展下，比如你电脑被入侵，资料泄露，你其实什么都没做，就是用了个盗版软件，别人就可以说你的盗版软件带后门，不需要理由，因为很多公司只有 IT 部门有权限安装软件

但是开的端口一般都是用来登录的呀。如果不是登录的话，那就是应用端口，这样也能被攻击吗？
不是很懂这块。

公司说不要就不要。
就像 RDP 虽说改了账号密码不泄露的情况下别人爆破不到。
但是谁能保证 RDP 自身不出洞呢。
这只是问题的一小部分，当员工故意违反公司规定，离收拾东西走人不远了。。。

一个 16 位随机密码和一个证书，泄露概率都差不多了。
没有人会傻到爆破 16 位随机密码（民用），能截获明文密码，就有很大概率截到密钥。

哦，我懂了，你说的这个就是日常管理找一个人背锅。简单来说级是出了事，领导不背锅，这个时候找找有没有人有违规操作。如果你违规操作了，那就以安全风险的理由把你开掉？
但是我想说的是，就正常来说，应该如何保障自己服务器的安全呢？
redis 入侵这块我看过相关的新闻，怎么做到的不知道。之前还有 docker 漏洞以及 ubuntu 前两天的登录漏洞。
是不是可以这样说，只要你把不相关的端口暴露出来了。只要对面能力够强，水平够高，总能找到方法入侵？

你也知道这是"理论上"，没有哪个软件 /服务 /系统敢说自己没有漏洞的。公司 IT 是吃干饭的么，发现你的机器有异常流量就够你喝一壶的了。君子不立于危墙之下，何必让自己处于陷阱呢？暴露个端口就这么香么。实在需要在家办公就和公司申请一台笔记本，全程 VPN 。
另外你还是没搞清楚公钥私钥