Я использую сервер с OpenVZ для нескольких веб-сайтов. В HN ничего кроме sshd. Виртуальная машина для Varnish, виртуальная машина для MySQL и несколько виртуальных машин для каждого веб-сайта (под управлением Apache / PHP). Теперь я хотел бы защитить этот сервер, в основном от сетевых атак (я думаю).
Что я должен делать? Я вижу, что мне не следует устанавливать Selinux в HN. Установка CSF кажется сложной (требуется несколько тонких настроек правил iptables).
Спасибо,
Достаточно поддерживать систему вашего HN в актуальном состоянии и правильно настраивать правила межсетевого экрана. Я рекомендую использовать Shorewall вместо простых iptables, потому что его намного легче читать (и, следовательно, легче поддерживать в хорошем состоянии). Есть специальная документация для настройки Shorewall при наличии OpenVZ.
Также не забудьте настроить sshd для аутентификации только с помощью закрытых ключей, а не паролей. Если вы должны использовать пароли, лучше будет хорошо. Если у вас iLO или аналогичный, подтяните и его.
Настроить брандмауэр на узле HW сложно, так как вы должны учитывать весь трафик, проходящий через узел с / на ваши VPS, прежде чем включать брандмауэр на узле HW. Возможно, вам потребуется провести аудит и соответствующим образом настроить брандмауэр, если вы собираетесь использовать его в основном узле. Обычно контроллеры домена используют аппаратный брандмауэр для защиты узлов от атак, чтобы уменьшить накладные расходы узла на управление всем трафиком через его брандмауэр (как вы можете предположить, брандмауэр узла должен управлять всем трафиком от / к VPS, которые действительно повлияет на производительность, если на нем размещено несколько занятых VPS). В большинстве случаев будет достаточно отключения любой ненужной службы на главном узле (почтовая служба, служба принтера и т. д.) и отключения прямого корневого доступа.
Если вы используете стандартное автоматическое назначение IP-адресов Venet для дистрибутивов OpenVZ (как proxmox), вам понадобятся отдельные CSF / брандмауэры на хосте и виртуальных машинах. Это связано с тем, что в зависимости от вашего хостинга или конфигурации сети ваши Venet IP-адреса, назначенные виртуальным машинам, не обязательно должны быть защищены. Мы используем Proxmox PVE и устанавливаем отдельный CSF на хост и каждую виртуальную машину с общедоступным IP.