Нужен ли мне брандмауэр на моем VPS, который я заказал сегодня?
Если да, какой из них вы бы порекомендовали?
Я планирую запустить сайт объявлений с Java, PHP, MySQL. Моя ОС Ubuntu 9.10
Спасибо
Кстати: что такое iptables?
Нужен ли мне брандмауэр на моем VPS, который я заказал сегодня?
Если да, какой из них вы бы порекомендовали?
Я планирую запустить сайт объявлений с Java, PHP, MySQL. Моя ОС Ubuntu 9.10
Спасибо
Кстати: что такое iptables?
Ответы:
Я рекомендую следовать руководству по IPTables на slicehost . У них есть хороший базовый набор правил, который позволяет входящим SSH, HTTP (S) и ping, позволяя вашему серверу отправлять что-либо.
Эти руководства также помогут вам настроить практически все остальное, что вам может понадобиться в VPS, поэтому вам действительно нужно потратить некоторое время и прочитать их. http://library.linode.com/ также является отличным местом для ознакомления с этими вещами.
Безопасность лучше всего делать слоями. Помимо небольшой дополнительной работы, добавление брандмауэра на основе хоста к вашему VPS ничего не должно повредить и может защитить вашу систему от некоторых атак.
Iptables - это инструмент командной строки, который управляет правилами в инфраструктуре ядра netfilter. Почти каждый брандмауэр на основе Linux использует iptables. Можно сказать, что на самом деле существует только один брандмауэр Linux, просто множество инструментов, которые манипулируют правилами по-разному.
Что касается того, какой брандмауэр использовать лично, мне действительно нравится firehol , но есть много альтернатив, поиск брандмауэра linux вернет много вопросов, где обсуждаются различные инструменты управления брандмауэром.
Безопасность действительно лучше всего делать слоями, как сказал Зоредаче. Подтверждение контроля также важно для душевного спокойствия. Посмотрите на HIDS (Система обнаружения вторжений хоста)
HIDS - это как твоя мама смотрит на твоих детей, пока ты идешь на вечеринку. Я предлагаю OSSEC, так как он очень прост в установке и научит вас всем аспектам вашей системы.
OSSEC - это масштабируемая многоплатформенная система обнаружения вторжений (HIDS) с открытым исходным кодом. Он обладает мощным механизмом корреляции и анализа, включающим анализ журналов, проверку целостности файлов, мониторинг реестра Windows, централизованное применение политик, обнаружение руткитов, оповещения в режиме реального времени и активные ответы.
Он работает в большинстве операционных систем, включая Linux, OpenBSD, FreeBSD, MacOS, Solaris и Windows.
Что такое iptables?
Это слой маршрутизации брандмауэра и сети вы бы установить на Linux. Как говорит Zoredache, это уровень ядра, и он хорошо доверяет своей работе. Это очень мощно, поэтому может быть довольно сложно понять. По этой причине существует множество интерфейсов для редактирования конфигурации iptables. Мой любимый - UFW, так как его очень просто установить в Ubuntu, и очень просто видеть правила и редактировать их.
Вы должны установить один? Вероятно.
Стоит ли полагаться только на брандмауэр? Точно нет.
Безопасный сервер означает больше, чем брандмауэр. Брандмауэр только решает, какой трафик достигнет вас. Если вы хотите, чтобы люди не перебирали грубо, пробираясь через SSH или FTP, вы можете использовать fail2ban и / или переместить их порт (я использую высокий - более 10000 - порт для sshd, чтобы люди не угадывали это быстро), и вы можете установите SSH, чтобы разрешить аутентификацию только по ключу (против пароля), что намного более безопасно.
Брандмауэр позволяет легко сказать: «Правильно, я хочу, чтобы Интернет мог видеть только веб-сервер и ssh-сервер, а все остальное только локально».