Planeo alquilar un servidor dedicado para alojar una aplicación comercial, que debería albergar esencialmente todo lo necesario para ejecutarse en una sola máquina (frontend, backend, bases de datos, análisis, sistemas de respaldo, etc.) por el momento. De hecho, se trata de una infraestructura simplista, pero no espero grandes cantidades de tráfico por ahora, así que creo que será suficiente por el momento.
Ahora, entiendo que en el mismo momento en que ponga el servidor en línea, habrá personas malintencionadas que intentarán obtener acceso de root, así que obviamente me gustaría encargarme de esto desde el primer día. La pregunta es, ¿necesito alquilar un firewall físico, físico como si fuera una máquina diferente, con esta configuración (que ofrece mi proveedor, pero a un costo que prácticamente duplica el precio), o podré cubrirlo? mi trasero con un firewall de software (es decir, iptables y compañía), siempre que esté configurado correctamente + ¿Tomo tantas medidas/buenas prácticas de seguridad de "software" como pueda?
Es cierto que mi experiencia en administración de redes/servidores es limitada, pero estoy muy dispuesto y deseoso de aprender todo lo que pueda para administrar los servidores por mi cuenta.
Respuesta1
Realmente no necesita un firewall separado para un solo host; Linux iptables es más que suficiente para proteger el servidor y (si ejecuta Red Hat/CentOS) estará activado y será razonablemente seguro de forma predeterminada.
Lo primero que querrá hacer después de que el servidor esté activo es crear una cuenta de usuario y luego proteger ssh negando los inicios de sesión de root con una contraseña. En /etc/ssh/sshd_configconjunto ya sea:
PermitRootLogin no
o:
PermitRootLogin without-password
si desea poder iniciar sesión como root con claves ssh.
Respuesta2
Los tipos de factores que impulsan la necesidad de un servidor dedicado no necesariamente se correlacionan con el volumen de tráfico o las amenazas típicamente observadas. Un sitio con requisitos masivos de E/S de back-end podría entregar pequeñas cantidades de datos tabulares a un puñado de usuarios. La decisión de implementar un firewall dedicado debe abordarse de la misma manera. El otro punto, por supuesto, es que agregar un firewall dedicado más adelante no es (o no debería ser) muy invasivo.