Como eu seguro meu nó de host OpenVZ?

Configurar o firewall no nó HW é complicado, já que você deve considerar todo o tráfego passando pelo nó de / para seus VPSs antes de ativar o firewall no nó HW. Talvez seja necessário fazer uma auditoria e configurar o firewall de acordo, se você for usar um no nó principal. Normalmente, os DCs usarão firewall de hardware para proteger os nós de ataques para reduzir a sobrecarga do nó de gerenciar todo o tráfego através de seu firewall (como você pode supor, o firewall do nó precisa gerenciar todo o tráfego de / para os VPSs, que Isso realmente afetará o desempenho se ele hospedar um número de VPSs ocupados) Desabilitar qualquer serviço desnecessário no nó principal (serviço de email, serviço de impressora..etc) e desabilitar o acesso root direto será suficiente na maioria dos casos.

Manter o sistema da sua HN atualizado e configurar corretamente as regras de firewall deve ser suficiente. Eu recomendo usar o Shorewall em vez de iptables nus porque é muito mais fácil de ler (e, portanto, mais fácil de manter bem configurado). Há documentação específica para configurar o Shorewall quando o OpenVZ estiver presente.

Lembre-se também de configurar o sshd para autenticar somente através de chaves privadas e não com senhas. Se você precisa usar senhas, é melhor que seja bom. Se você tem o iLO ou similar, aperte-o também.

Se estiver usando a distribuição IP automática automática de distribuições OpenVZ (como proxmox), você precisará de CSF / firewalls separados em máquinas host e virtuais. Isto é, dependendo da sua hospedagem ou configuração de rede, seus IPs atribuídos a VMs não estão necessariamente protegidos. Usamos o Proxmox PVE e instalamos o CSF separado no host e cada VM com um IP público.