Нужен ли мне брандмауэр на моем VPS, который я заказал сегодня?
Если да, то какой из них вы бы порекомендовали?
Я планирую запустить сайт объявлений на Java, php, mysql. Моя ОС - ubuntu 9.10
Спасибо
Кстати: что такое iptables?
Безопасность лучше всего делать послойно. Помимо небольшой дополнительной работы, добавление брандмауэра на основе хоста к вашему VPS не должно ничего повредить и может защитить вашу систему от некоторых атак.
Iptables - это инструмент командной строки, который управляет правилами в инфраструктуре netfilter ядра. Практически каждый брандмауэр на базе Linux использует iptables. Можно сказать, что на самом деле существует только один брандмауэр Linux, просто множество инструментов, которые по-разному манипулируют правилами.
Что касается того, какой брандмауэр использовать лично, мне очень нравится Firehol, но есть много альтернатив поиску брандмауэр linux вернет много вопросов, где обсуждаются различные инструменты управления брандмауэром.
Я рекомендую следовать Руководство по IPTables на slicehost. У них есть хорошие базовый набор правил который разрешает входящий SSH, HTTP (S) и ping, позволяя вашему серверу отправлять что угодно.
Эти руководства также помогут вам настроить практически все, что вам может понадобиться на VPS, так что вам действительно стоит потратить некоторое время и прочитать их. http://library.linode.com/ также отличное место, чтобы прочитать об этом.
Что такое iptables?
Это в брандмауэр и уровень сетевой маршрутизации, которые вы установите в Linux. Как говорит Зоредак, это уровень ядра, и ему хорошо доверяют выполняемую работу. Это очень мощный инструмент, поэтому его довольно сложно понять. По этой причине существует целый ряд интерфейсов для редактирования конфига iptables. Мой любимый ufw так как его очень просто установить на Ubuntu и очень просто посмотреть правила и отредактировать их.
Стоит ли его устанавливать? Наверное.
Стоит ли просто полагаться на брандмауэр? Точно нет.
Безопасный сервер - это больше, чем брандмауэр. Брандмауэр только решает, какой трафик до вас доходит. Если вы хотите, чтобы люди не пробирались через SSH или FTP, вы можете использовать fail2ban и / или переместить их порт (я использую порт с высоким - более 10 000 - для sshd, чтобы люди не догадывались быстро), и вы можете установите SSH, чтобы разрешить аутентификацию только по ключу (вместо пароля), что намного безопаснее.
Брандмауэр просто позволяет легко сказать: «Правильно, я хочу, чтобы Интернет видел только веб-сервер и ssh-сервер, а все остальное - только локальное».
Как сказал Зоредаш, безопасность действительно лучше всего достигается на нескольких уровнях. Уверенность в том, что все под контролем, также важна для душевного спокойствия. Взгляните на HIDS (систему обнаружения вторжений хоста)
HIDS - это как если бы ваша мама присматривала за вашими детьми, пока вы выходите на вечеринку. Мое предложение OSSEC поскольку он очень прост в установке и научит вас всем аспектам вашей системы.
OSSEC - это масштабируемая, многоплатформенная система обнаружения вторжений с открытым исходным кодом на основе хоста (HIDS). Он имеет мощный механизм корреляции и анализа, объединяющий анализ журналов, проверку целостности файлов, мониторинг реестра Windows, централизованное применение политик, обнаружение руткитов, оповещение в реальном времени и активный ответ.
Он работает в большинстве операционных систем, включая Linux, OpenBSD, FreeBSD, MacOS, Solaris и Windows.