나는 당분간 단일 시스템(프런트엔드, 백엔드, 데이터베이스, 분석, 백업 시스템 등)에서 실행하는 데 필요한 모든 것을 수용해야 하는 상용 애플리케이션을 호스팅하기 위해 전용 서버를 임대할 계획입니다. 이것은 참으로 단순한 인프라이지만, 현재로서는 많은 양의 트래픽을 기대하지 않으므로 당분간은 충분할 것이라고 믿습니다.
이제 저는 서버를 온라인에 연결한 바로 그 시간에 악의적인 사람들이 서버에 대한 루트 액세스 권한을 얻으려고 시도할 것이라는 점을 알고 있으므로 분명히 첫날부터 이 문제를 처리하고 싶습니다. 문제는 이 설정을 사용하여 다른 시스템인 것처럼 물리적인 방화벽을 임대해야 하는지(제공업체가 제공하지만 가격이 거의 두 배의 비용이 듭니다)입니다. 소프트웨어 방화벽(예: iptables 및 공동)이 제대로 구성되어 있으면 내 엉덩이는 + 가능한 한 많은 "소프트웨어" 보안 조치/모범 사례를 취합니까?
내 네트워킹/서버 관리 경험은 제한되어 있지만 스스로 서버를 관리할 수 있는 만큼 배우고자 하는 의지가 매우 강합니다.
답변1
단일 호스트에 대해 별도의 방화벽이 실제로 필요하지 않습니다. Linux iptables는 서버를 보호하기에 충분하며 (Red Hat/CentOS를 실행하는 경우) 기본적으로 켜져 있고 합리적으로 안전합니다.
서버가 가동된 후 가장 먼저 해야 할 일은 사용자 계정을 만든 다음 비밀번호로 루트 로그인을 거부하여 ssh를 보호하는 것입니다. /etc/ssh/sshd_config세트 내 :
PermitRootLogin no
또는:
PermitRootLogin without-password
SSH 키를 사용하여 루트로 로그인할 수 있기를 원하는 경우.
답변2
전용 서버의 필요성을 높이는 요인이 트래픽 양이나 일반적으로 관찰되는 위협과 반드시 연관되는 것은 아닙니다. 대규모 백엔드 I/O 요구 사항이 있는 사이트에서는 소수의 사용자에게 소량의 표 형식 데이터를 전달할 수 있습니다. 전용 방화벽을 추구하기로 한 결정도 같은 방식으로 접근해야 합니다. 물론 또 다른 요점은 나중에 전용 방화벽을 추가하는 것이 그다지 침해적이지 않거나 그렇게 되어서는 안 된다는 것입니다.