Я планирую арендовать выделенный сервер для размещения коммерческого приложения, которое должно вместить в себя по сути все необходимое для работы на одной машине (фронтенд, бэкенд, базы данных, аналитика, системы резервного копирования и т. д.) на данный момент. Это действительно упрощенная инфраструктура, но я не ожидаю больших объемов трафика на данный момент, поэтому я считаю, что этого будет достаточно на данный момент.
Теперь я понимаю, что в тот же час, когда я запущу сервер в сеть, злоумышленники попытаются получить к нему доступ с правами root, поэтому, очевидно, я хотел бы позаботиться об этом с самого начала. Вопрос в том, нужно ли мне арендовать физический брандмауэр, физический, как будто это другая машина, с этой настройкой (которую предлагает мой провайдер, но по цене, которая почти вдвое выше), или я смогу прикрыть свою задницу программным брандмауэром (например, iptables и т. д.), при условии, что он правильно настроен + я приму как можно больше «программных» мер безопасности/хороших практик?
Конечно, мой опыт администрирования сетей/серверов ограничен, но я очень хочу и стремлюсь узнать как можно больше, чтобы управлять сервером/серверами самостоятельно.
решение1
На самом деле вам не нужен отдельный брандмауэр для одного хоста; Linux iptables более чем достаточен для защиты сервера, и (если вы используете Red Hat/CentOS) будет включен и достаточно безопасен по умолчанию.
Первое, что вам нужно сделать после запуска сервера, это создать себе учетную запись пользователя, а затем защитить ssh, запретив вход root с паролем. В /etc/ssh/sshd_configнастройках либо:
PermitRootLogin no
или:
PermitRootLogin without-password
если вы хотите иметь возможность войти в систему как root с помощью ключей SSH.
решение2
Типы факторов, которые обуславливают необходимость в выделенном сервере, не обязательно коррелируют с объемом трафика или типичными наблюдаемыми угрозами. Сайт с огромными требованиями к внутреннему вводу/выводу может выдавать небольшие объемы табличных данных нескольким пользователям. Решение о выборе выделенного брандмауэра следует принимать таким же образом. Другой момент, конечно, заключается в том, что добавление выделенного брандмауэра позже не является (или не должно быть) слишком инвазивным.