Ich plane, einen dedizierten Server zu mieten, um eine kommerzielle Anwendung zu hosten, die im Wesentlichen alles enthalten sollte, was für den Betrieb auf einer einzigen Maschine erforderlich ist (Frontend, Backend, Datenbanken, Analysen, Backup-Systeme usw.). Dies ist zwar eine einfache Infrastruktur, aber ich erwarte im Moment kein hohes Verkehrsaufkommen, daher glaube ich, dass es vorerst ausreichen wird.
Mir ist klar, dass böswillige Personen in derselben Stunde, in der ich den Server online stelle, versuchen werden, Root-Zugriff darauf zu erhalten. Daher möchte ich mich natürlich vom ersten Tag an darum kümmern. Die Frage ist, muss ich eine physische Firewall mieten, physisch im Sinne einer anderen Maschine mit dieser Einstellung (die mein Anbieter anbietet, aber zu einem Preis, der sich ungefähr verdoppelt), oder kann ich mich mit einer Software-Firewall (z. B. iptables und Co.) absichern, vorausgesetzt, sie ist richtig konfiguriert + ich wende so viele „Software“-Sicherheitsmaßnahmen/bewährte Praktiken an wie möglich?
Meine Erfahrung im Bereich Netzwerk-/Serveradministration ist zugegebenermaßen begrenzt, aber ich bin sehr gewillt und begierig, so viel zu lernen, wie ich kann, um den/die Server selbst zu verwalten.
Antwort1
Sie benötigen für einen einzelnen Host wirklich keine separate Firewall. Linux iptables reicht zum Schutz des Servers völlig aus und ist (wenn Sie Red Hat/CentOS verwenden) standardmäßig aktiviert und einigermaßen sicher.
Das erste, was Sie tun möchten, nachdem der Server hochgefahren ist, ist, sich ein Benutzerkonto zu erstellen und dann SSH zu sichern, indem Sie Root-Anmeldungen mit einem Passwort verweigern. In /etc/ssh/sshd_config
set entweder:
PermitRootLogin no
oder:
PermitRootLogin without-password
wenn Sie sich mit SSH-Schlüsseln als Root anmelden möchten.
Antwort2
Die Faktoren, die einen dedizierten Server erforderlich machen, korrelieren nicht unbedingt mit dem Verkehrsaufkommen oder den typischerweise beobachteten Bedrohungen. Eine Site mit massiven Backend-E/A-Anforderungen kann kleine Mengen tabellarischer Daten an eine Handvoll Benutzer verteilen. Die Entscheidung für eine dedizierte Firewall sollte auf die gleiche Weise angegangen werden. Der andere Punkt ist natürlich, dass das spätere Hinzufügen einer dedizierten Firewall nicht sehr invasiv ist (oder sein sollte).