我打算租用一台专用服务器来托pipe一个商业应用程序,这个应用程序实际上应该安装在一台机器(前端,后端,数据库,分析,备份系统等)上运行所需的所有东西。 这确实是一个简单的基础设施,但是我现在不期望有大量的stream量,所以我相信现在就足够了。
现在,我明白了同一个小时,我把服务器在线我会有恶意的人试图获得它的根访问,所以显然我想从第一天照顾这一点。 问题是,我需要租用一个物理防火墙,这个物理防火墙与这个设置(我的提供商提供的这个设置是一个不同的机器)是物理防火墙,但是这样做的代价是价格翻倍了,或者我能够覆盖我的软件防火墙(即iptables和co)的屁股,提供了正确的configuration+我尽可能多地采取“软件”安全措施/良好做法?
我的networking/服务器pipe理经验是有限的,但我非常愿意并且渴望学习尽可能多地自己pipe理服务器。
你真的不需要一个单独的主机的防火墙; Linux的iptables足以保护服务器,并且(如果你运行的是Red Hat / CentOS),默认情况下是合理安全的。
在服务器启动之后你要做的第一件事就是让自己成为一个用户帐号,然后用密码拒绝rootlogin来保护ssh。 在/etc/ssh/sshd_config设置:
PermitRootLogin no
要么:
PermitRootLogin without-password
如果你想能以root用ssh密钥login的话。
推动专用服务器需求的因素种类不一定与stream量或通常观察到的威胁相关。 具有大量后端I / O需求的站点可能会向less数用户提供less量表格数据。 应该以同样的方式处理寻求专用防火墙的决定。 另一点,当然是后来增加一个专门的防火墙不是(或不应该是)非常有侵略性的。