我想在家里的机器上托管一个网站,使用动态 DNS 之类的东西,纯粹是为了通过我的 ADSL 连接向一些朋友展示几天。我的局域网上有一些珍贵的东西,比如一个 NAS,里面有各种重要的照片等。因此,我非常希望保护我的网络的其余部分免受传入流量损坏/黑客攻击的可能性。
(由于技术和财务原因,该网站无法在线托管 - 我负担不起所需的托管费用)
我的路由器不提供 DMZ 功能。因此,我计划在 VirtualBox VM 中运行网站并使用端口转发。我的逻辑是,我可以在虚拟机管理程序级别控制客户机的访问量。我将在路由器上打开一个传入端口并将其转发到主机,然后主机将使用 Virtual Box 的端口转发功能将该端口转发到客户机。
我并不担心客户机的速度,就像我说的,我只向一些我无法亲自见面的朋友展示。主机是 Lubuntu,客户机将是 Ubuntu Server。
这是一种可接受的方法吗?或者我是否忽略了某些因素而导致其存在风险?
答案1
记下您正在运行的软件版本,该软件将监听开放端口上的流量(例如 apache)。还请记下您正在与 Apache 一起使用的其他相关软件包(例如 PHP 版本、MySQL 版本、Wordpress 版本)。
检查此软件是否存在漏洞http://osvdb.org/- 并确保您应用了补丁/缓解措施/解决方法。
保持系统更新,并密切关注正在运行的软件是否有新的漏洞/漏洞,这样就没问题了。不过,这永远无法 100% 保证。
您会发现您的网络服务器被各种恶意程序扫描。您可以安装 Fail2Ban 来监视滥用流量并阻止 IP。
或者,如果只有您的朋友需要查看它,并且他们总是从相同的 IP 范围访问,那么您可以始终通过 htaccess(或许是 IPTables)阻止对未知 IP 地址的访问。