Pretendo alugar um servidor dedicado para hospedar uma aplicação comercial, que deverá abrigar essencialmente tudo o que é necessário para rodar em uma única máquina (frontend, backend, bancos de dados, análises, sistemas de backup, etc) por enquanto. Esta é realmente uma infra-estrutura simplista, mas não espero grandes quantidades de tráfego por enquanto, por isso acredito que será suficiente por enquanto.
Agora, entendo que na mesma hora em que colocar o servidor online terei pessoas mal-intencionadas tentando obter acesso root a ele, então obviamente gostaria de cuidar disso desde o primeiro dia. A questão é: preciso alugar um firewall físico, físico como se fosse uma máquina diferente, com essa configuração (que meu provedor oferece, mas a um custo que praticamente dobra o preço), ou poderei cobrir minha bunda com um firewall de software (ou seja, iptables e co), desde que esteja configurado corretamente + eu tomo tantas medidas/boas práticas de segurança de "software" quanto posso?
Minha experiência em administração de redes/servidores é reconhecidamente limitada, mas estou muito disposto e ansioso para aprender o máximo que puder para gerenciar os servidores por conta própria.
Responder1
Você realmente não precisa de um firewall separado para um único host; O iptables do Linux é mais que suficiente para proteger o servidor e (se você executar o Red Hat/CentOS) estará ativado e razoavelmente seguro por padrão.
A primeira coisa que você vai querer fazer depois que o servidor estiver ativo é criar uma conta de usuário e, em seguida, proteger o ssh negando logins root com uma senha. No /etc/ssh/sshd_configconjunto:
PermitRootLogin no
ou:
PermitRootLogin without-password
se você quiser fazer login como root com chaves ssh.
Responder2
Os tipos de fatores que impulsionam a necessidade de um servidor dedicado não estão necessariamente correlacionados ao volume de tráfego ou às ameaças normalmente observadas. Um site com enormes requisitos de E/S de back-end pode distribuir pequenas quantidades de dados tabulares para alguns usuários. A decisão de buscar um firewall dedicado deve ser abordada da mesma forma. O outro ponto, claro, é que adicionar um firewall dedicado posteriormente não é (ou não deveria ser) muito invasivo.