商用アプリケーションをホストするために専用サーバーをレンタルする予定です。このサーバーには、当面は 1 台のマシンで実行するために必要なもの (フロントエンド、バックエンド、データベース、分析、バックアップ システムなど) がすべて収容される予定です。これは確かに単純なインフラストラクチャですが、今のところ大量のトラフィックは予想していないため、当面はこれで十分だと考えています。
さて、サーバーをオンラインにした瞬間に、悪意のある人がルート アクセスを取得しようとすることは理解しているので、当然、初日からこれに対処したいと思います。問題は、この設定で、別のマシンである物理的なファイアウォールをレンタルする必要があるのか (プロバイダーが提供していますが、価格はほぼ 2 倍になります)、それとも、適切に構成され、可能な限り多くの「ソフトウェア」セキュリティ対策/適切なプラクティスを講じている限り、ソフトウェア ファイアウォール (iptables など) で対処できるのかということです。
私のネットワーク/サーバー管理の経験は確かに限られていますが、自分でサーバーを管理できる限り、積極的に学びたいと思っています。
答え1
実際には、単一のホストに個別のファイアウォールは必要ありません。Linux iptables はサーバーを保護するのに十分であり、(Red Hat/CentOS を実行している場合) デフォルトで有効になっていて、十分に安全です。
サーバーが起動したら、まず最初にユーザー アカウントを作成し、パスワードで root ログインを拒否して SSH を安全にします。/etc/ssh/sshd_config次のいずれかを設定します。
PermitRootLogin no
または:
PermitRootLogin without-password
SSH キーを使用して root としてログインできるようにしたい場合。
答え2
専用サーバーの必要性を喚起する要因は、必ずしもトラフィック量や一般的に見られる脅威と相関しているわけではありません。バックエンド I/O 要件が膨大なサイトは、少数のユーザーに少量の表形式データを配布する場合があります。専用ファイアウォールの導入を決定する場合も、同様のアプローチを取る必要があります。もちろん、もう 1 つのポイントは、後から専用ファイアウォールを追加しても、それほど侵入的ではない (または侵入的であってはならない) ということです。