Аренда выделенного сервера, должен ли я арендовать физический брандмауэр?

2

Я планирую арендовать выделенный сервер для размещения коммерческого приложения, которое должно содержать все необходимое для работы на одном компьютере (внешний интерфейс, серверная часть, базы данных, аналитика, системы резервного копирования и т. Д.). Это действительно упрощенная инфраструктура, но я пока не ожидаю большого объема трафика, поэтому я считаю, что на данный момент этого будет достаточно.

Теперь я понимаю, что в тот же час, когда я подключил сервер к сети, у меня будут злоумышленники, пытающиеся получить к нему root-доступ, поэтому, очевидно, я бы хотел позаботиться об этом с первого дня. Вопрос заключается в том, нужно ли мне арендовать физический брандмауэр, физический, как если бы это был другой компьютер, с этим параметром (который предлагает мой провайдер, но по цене, в значительной степени удваивающим цену), или я смогу покрыть это? моя задница с программным брандмауэром (т.е. iptables and co), при условии, что он правильно настроен + я принимаю столько "программных" мер безопасности / рекомендаций, сколько могу?

Мой опыт администрирования сетей / серверов, по общему признанию, ограничен, но я очень хочу и хочу учиться столько, сколько я могу управлять серверами самостоятельно.

security firewall web-hosting dedicated-server Mahn
источник
@ErikA почему так серьезно :)
Mahn
Это делает для лучшего вопроса. Вы будете получать атаки со всего мира, а не только из одного конкретного места.
Майкл Хэмптон

Ответы:

6

Вам действительно не нужен отдельный брандмауэр для одного хоста; Linux iptables более чем достаточно для защиты сервера, и (если вы используете Red Hat / CentOS) он будет включен и достаточно безопасен по умолчанию.

Первое, что вы захотите сделать после запуска сервера, - это создать себе учетную запись пользователя, а затем защитить ssh, запретив вход в систему с паролем. В /etc/ssh/sshd_configкомплекте либо:

PermitRootLogin no

или же:

PermitRootLogin without-password

если вы хотите иметь возможность войти в систему как root с помощью ключей ssh.

Майкл Хэмптон
источник
1
Кроме того, установка Fail2ban и Logwatch отлично подходит для обеспечения безопасности (запрещение аутентификации с использованием принудительного мошенничества и создание журналов активности)
Kedare
1

Факторы, определяющие потребность в выделенном сервере, не обязательно связаны с объемом трафика или типично наблюдаемыми угрозами. Сайт с огромными внутренними требованиями к вводу / выводу может раздавать небольшие объемы табличных данных нескольким пользователям. Решение о выделенном брандмауэре следует подходить таким же образом. Другой момент, конечно, заключается в том, что добавление выделенного брандмауэра позже не является (или не должно быть) очень агрессивным.

rnxrx
источник
Спасибо, не могли бы вы рассказать о факторах, которые следует учитывать, чтобы решить, подходит ли выделенный межсетевой экран?
Ман
1
Объем и скорость трафика, внешние требования для физического разделения административных функций (управляемых аудиторами, PHB и т. Д.), Риск / частота DDoS-атак, потребность в специальных функциях, помимо тех, которые имеются в общем предложении, и определенных ситуациях VPN. Есть и другие примеры, но в целом вы узнаете, когда попадете туда.
rnxrx