我計劃租用一台專用伺服器來託管商業應用程序,該伺服器暫時應容納在單一電腦上運行所需的所有內容(前端、後端、資料庫、分析、備份系統等)。這確實是一個簡單的基礎設施,但我目前預計流量不會很高,所以我相信暫時就足夠了。
現在,我知道在我將伺服器上線的同一小時,我將有惡意的人試圖獲得對它的根訪問權限,所以顯然我想從第一天起就解決這個問題。問題是,我是否需要使用此設定(我的提供者提供,但價格幾乎翻倍)來租用實體防火牆,實體防火牆就像另一台機器一樣,或者我是否能夠覆蓋我的屁股有一個軟體防火牆(即iptables 和co),只要它配置正確+我盡可能多地採取“軟體”安全措施/良好實踐?
誠然,我的網路/伺服器管理經驗有限,但我非常願意並且渴望學習盡可能多的知識,因為我能夠自己管理伺服器。
答案1
您確實不需要為單一主機使用單獨的防火牆; Linux iptables 足以保護伺服器,並且(如果您執行 Red Hat/CentOS)預設處於開啟狀態並且相當安全。
伺服器啟動後您要做的第一件事就是為自己建立使用者帳戶,然後透過使用密碼拒絕 root 登入來保護 ssh。在/etc/ssh/sshd_config集合中:
PermitRootLogin no
或者:
PermitRootLogin without-password
如果您希望能夠使用 ssh 金鑰以 root 身分登入。
答案2
推動對專用伺服器的需求的因素不一定與流量或通常觀察到的威脅有關。具有大量後端 I/O 需求的網站可能會將少量表格資料分發給少數使用者。應該以同樣的方式做出尋求專用防火牆的決定。當然,另一點是,稍後添加專用防火牆不會(或不應該)具有很大的侵入性。