Первый ответ, который я обычно слышал, задавая этот вопрос, - это поменять порты, но забудьте об этом и просто отключите IPv4. Если вы разрешаете только клиентам из сетей IPv6, вы больше не будете молиться о простом сканировании сети, и злоумышленники прибегнут к поиску DNS. Не используйте тот же адрес, что и ваш Apache (AAAA) / Sendmail (MX-> AAAA) / что вы раздали всем (AAAA). Убедитесь, что ваша зона не может быть изменена, подождите, пока вы разрешаете кому-либо загружать ее?
Если боты обнаружат, что ваш сервер настроил новые имена хостов, просто добавьте некоторую тарабарщину к вашим именам хостов и измените ваш адрес. Оставьте старые имена и даже настройте ** honeypot-имена для бот-сети для тайм-аута.
** Протестируйте ваши обратные (PTR) записи (в ip6.arpa.), Чтобы увидеть, можно ли их использовать для обнуления в / 4, в которых есть записи VS / 4, в которых нет. И.Е. Как правило, ip6.arpa будет иметь ~ 32 ". В адресе, но попытка пропустить последние несколько пропусков может ускользнуть от сетевых блоков, в которых есть записи, против других, которые этого не делают. Если вы пойдете дальше, станет возможным пропустить большие части адресного пространства.
В худшем случае пользователям придется настраивать туннель IPv6, но вряд ли им придется заходить так далеко, как VPN в DMZ ... Хотя возникает вопрос, почему это не первый вариант.
Также Kerberos - это круто, но IMHO LDAP дует (что технически не так с NISPlus? Я читал, что Sun решила, что пользователи хотят LDAP, и из-за этого они отказались от NIS +). Kerberos отлично работает без LDAP или NIS, просто нужно управлять пользователями на хосте за хостом. Использование Kerberos дает вам простую, если не автоматизированную, PKI.