我正在使用OpenVZ为几个网站运行服务器。 HN除了sshd外没有任何内容。 用于Varnish的VM,用于MySQL的VM和用于一个网站(运行Apache / PHP)的几个VM。 现在我想确保这个服务器,主要是来自networking攻击(我认为)。
我该做什么? 我看到我不应该在HN安装Selinux。 CSF的安装看起来很复杂(需要一些iptables规则的优化)。
谢谢,
在硬件节点configuration防火墙是非常棘手的,因为在硬件节点启用防火墙之前,必须考虑所有通过节点的通信。 如果要在主节点中使用防火墙,则可能需要执行相应的审计并configuration防火墙。 通常情况下,数据中心将使用硬件防火墙来保护节点免受攻击,以减less节点pipe理通过其防火墙的所有stream量的开销(正如您可以假设的那样,节点防火墙必须pipe理来自/到VPS的所有stream量,如果它拥有一些繁忙的VPS,会影响性能)在大多数情况下,禁用主节点(邮件服务,打印机服务…等)中的任何不必要的服务并禁用直接的根访问就足够了。
保持HN系统的最新状态并正确configuration防火墙规则就足够了。 我build议使用Shorewall而不是裸iptables,因为它更容易阅读(因此更容易保持良好的configuration)。 当OpenVZ存在时,有专门的文档来configurationShorewall。
还要记得configurationsshd,以便仅通过私钥进行身份validation,而不是使用密码进行身份validation。 如果你必须使用密码,那最好是好的。 如果您有iLO或类似的设备,请将其拧紧。
如果使用OpenVZ发行版的标准venet自动ip分配(如proxmox),则需要在主机和虚拟机上分开安装CSF /防火墙。 这是,根据您的主机或networkingconfiguration您venet分配给虚拟机的IP是不必要的保护。 我们使用Proxmox PVE,并在主机上安装单独的CSF,并使用公共IP安装每个VM。