我计划租用一台专用服务器来托管一个商业应用程序,该服务器应暂时容纳在一台机器上运行所需的一切(前端、后端、数据库、分析、备份系统等)。这确实是一个简单的基础设施,但我目前预计流量不会很大,所以我相信它暂时就足够了。
现在,我明白,在我将服务器上线的同一小时,就会有恶意的人试图获得对它的 root 访问权限,所以显然我希望从第一天开始就处理好这个问题。问题是,我是否需要租用物理防火墙,即另一台机器,并采用这种设置(我的提供商提供,但价格几乎翻了一番),或者我是否能够使用软件防火墙(即 iptables 和 co)来保护自己,前提是它配置正确 + 我尽可能多地采取“软件”安全措施/良好做法?
我承认我的网络/服务器管理经验有限,但我非常愿意并渴望学习尽可能多的知识,以便能够自己管理服务器。
答案1
您确实不需要为单个主机设置单独的防火墙;Linux iptables 足以保护服务器,并且(如果您运行 Red Hat/CentOS)默认情况下将处于开启状态并且相当安全。
服务器启动后,您要做的第一件事就是为自己创建一个用户帐户,然后通过使用密码拒绝 root 登录来保护 ssh。在/etc/ssh/sshd_config设置中:
PermitRootLogin no
或者:
PermitRootLogin without-password
如果您希望使用 ssh 密钥以 root 身份登录。
答案2
促使需要专用服务器的因素不一定与流量或通常观察到的威胁相关。具有大量后端 I/O 要求的站点可能会向少数用户分发少量表格数据。采用专用防火墙的决定应以同样的方式处理。当然,另一点是,以后添加专用防火墙不会(或不应该)非常具有侵入性。