我正在为几个网站运行使用 OpenVZ 的服务器。HN 中除了 sshd 之外什么都没有。一个用于 Varnish 的 VM、一个用于 MySQL 的 VM 以及几个用于每个网站的 VM(运行 Apache/PHP)。现在我想保护这台服务器,主要是防止网络攻击(我认为)。
我该怎么办?我发现我不应该在 HN 中安装 Selinux。CSF 的安装似乎很复杂(需要对一些 iptables 规则进行微调)。
谢谢,
答案1
在 HW 节点中配置防火墙比较棘手,因为在启用 HW 节点中的防火墙之前,您必须考虑从/到 VPS 通过节点的所有流量。如果您要在主节点中使用防火墙,则可能需要进行审核并相应地配置防火墙。通常,DC 将使用硬件防火墙保护节点免受攻击,以减少节点管理通过其防火墙的所有流量的开销(您可以假设,节点防火墙必须管理来自/到 VPS 的所有流量,如果它托管许多繁忙的 VPS,这将真正影响性能)在大多数情况下,禁用主节点中任何不必要的服务(邮件服务、打印机服务等)并禁用直接根访问就足够了。
答案2
保持 HN 系统最新并正确配置其防火墙规则就足够了。我建议使用 Shorewall 而不是裸 iptables,因为它更容易阅读(因此更容易保持良好的配置)。有具体文件用于在存在 OpenVZ 时配置 Shorewall。
还要记住配置 sshd,以便仅通过私钥而不是密码进行身份验证。如果必须使用密码,最好使用密码。如果您有 iLO 或类似产品,也请将其收紧。
答案3
如果使用 OpenVZ 发行版的标准 venet 自动 IP 分配(如 proxmox),则需要在主机和虚拟机上安装单独的 CSF/防火墙。也就是说,根据您的托管或网络配置,分配给虚拟机的 venet IP 不一定需要保护。我们使用 Proxmox PVE 并在主机和每个具有公共 IP 的虚拟机上安装单独的 CSF。