Я планирую арендовать выделенный сервер для размещения коммерческого приложения, которое на данный момент должно содержать практически все необходимое для работы на одной машине (интерфейс, серверная часть, базы данных, аналитика, системы резервного копирования и т. Д.). Это действительно упрощенная инфраструктура, но я пока не ожидаю большого объема трафика, поэтому я считаю, что на данный момент этого будет достаточно.
Теперь я понимаю, что в тот же час, когда я подключаю сервер к сети, злоумышленники будут пытаться получить к нему root-доступ, поэтому, очевидно, я хотел бы позаботиться об этом с первого дня. Вопрос в том, нужно ли мне арендовать физический брандмауэр, физический, как если бы это была другая машина, с этой настройкой (которую предлагает мой провайдер, но за счет почти удвоения цены), или я смогу покрыть моя задница с программным брандмауэром (т.е. iptables и co), при условии, что он правильно настроен + я принимаю столько "программных" мер безопасности / передовых методов, сколько могу?
По общему признанию, мой опыт администрирования сети / сервера ограничен, но я очень хочу и очень хочу узнать столько, сколько я могу управлять серверами самостоятельно.
Вам действительно не нужен отдельный брандмауэр для одного хоста; Linux iptables более чем достаточно для защиты сервера, и (если вы используете Red Hat / CentOS) по умолчанию будет включен и достаточно безопасен.
Первое, что вам нужно сделать после того, как сервер заработает, - это создать учетную запись пользователя, а затем защитить ssh, запретив вход в систему root с паролем. В /etc/ssh/sshd_config
установить либо:
PermitRootLogin no
или:
PermitRootLogin without-password
если вы хотите иметь возможность войти в систему как root с ключами ssh.
Факторы, определяющие потребность в выделенном сервере, не обязательно коррелируют с объемом трафика или типично наблюдаемыми угрозами. Сайт с огромными требованиями к вводу-выводу серверной части может раздавать небольшие объемы табличных данных горстке пользователей. Аналогичным образом следует подойти к решению о выделении специализированного межсетевого экрана. Другой момент, конечно же, заключается в том, что добавление выделенного брандмауэра позже не является (или не должно быть) слишком агрессивным.