在防火墙后面运行networking服务器是否安全?
目前我们有一个基于Linux的防火墙,它将我们的公共IP地址NAT给我们的员工的个人电脑和一个Windows Server 2003的内部文件共享。
我想使用Linux服务器在这个防火墙的内部托pipeRedmine / SVN(一个bugtracker)。 这个networking服务器将被我们的客户从外部访问,所以他们可以发布错误报告。 这意味着我必须在防火墙上打开端口80和22,以便访问networking服务器和我从家里进行SSH连接。
但是,假设我正在使用基于密码的SSH服务器,并有人破解它。 这是否意味着黑客可以ping和访问networking中的其他服务器和PC?
- LXC足够安全的VPS托pipe?
- 使用标准USB闪存盘作为安全令牌
- 在同一台机器上安装数据库服务器和Web服务器有风险吗?
- 在哪里以及如何为与Windows服务相关的帐户存储密码?
- 我的networking服务器上的nmap显示TCP端口554和7070打开
是。 DMZ解决了这个问题。 您可以在Linux(独立networking)上创buildDMZ,使用另一个NIC或创buildVLAN。
在计算机安全领域,非军事区或非军事区是一个物理的或逻辑的子networking,它包含和暴露一个组织的外部服务到较大的不可信networking,通常是因特网。 该术语通常被信息技术专业人员称为DMZ。 它有时被称为外围networking。 DMZ的目的是为组织的局域网(LAN)添加一个额外的安全层。 外部攻击者只能访问DMZ中的设备,而不能访问networking的任何其他部分。
@ooshro给出了关于DMZs的一个很好的答案,但是我想补充一下,还有一些额外的步骤你应该考虑保护你的外部访问来限制你的主机被攻破的可能性。
首先,确保你在linux bugtracker服务器上设置了适当的防火墙规则。 由于它是公开访问的,您应该严格控制进出机器的进出。 大多数防火墙configuration专注于阻止来自外部的传入连接。 这是一个好的第一步,但你也应该locking传出连接。 例如,如果这个服务器不需要ssh到外面的世界,应该有一个防火墙规则阻止这个。
在服务器上安装一小套软件包。 你真的需要像tcpdump或traceroutenetworking实用程序? 可能不会,但是对于闯入你的机器的人来说,它们是非常宝贵的。
采取额外的步骤来保护在Linux服务器上的传入SSH。 你应该运行类似denyhosts的东西来阻止自动login尝试。 如果只有像你这样的pipe理员用户通过ssh访问这个机器,在另外一个端口上运行你的ssh服务器再次减less自动login尝试的次数。
不要仅允许密码的sshlogin到框中,而是需要使用预生成的公钥/私钥对。 考虑运行Google双因素身份validation,以便在login时有一个额外的安全层。
除了@ ooshro的回答。 把所有东西放在一个DMZ中也是一个担心,就好像这些服务中的任何一个都被攻破了一样,攻击者将会有一个更简单的工作来攻破整个DMZ,这就给了一个更大的平台去尝试穿越防火墙。