Como eu seguro meu nó de host OpenVZ?

1

Estou executando um servidor usando o OpenVZ para alguns sites. Nada em HN exceto para sshd. Uma VM para Varnish, uma VM para MySQL e algumas VMs para um site (executando Apache / PHP). Agora eu gostaria de proteger este servidor, principalmente de ataque de rede (eu acho).

O que devo fazer? Vejo que não devo instalar o Selinux no HN. A instalação do CSF parece complicada (precisa de algumas regras finas de iptables).

Obrigado,

    
por jcisio 02.09.2011 / 14:58

3 respostas

1

Configurar o firewall no nó HW é complicado, já que você deve considerar todo o tráfego passando pelo nó de / para seus VPSs antes de ativar o firewall no nó HW. Talvez seja necessário fazer uma auditoria e configurar o firewall de acordo, se você for usar um no nó principal. Normalmente, os DCs usarão firewall de hardware para proteger os nós de ataques para reduzir a sobrecarga do nó de gerenciar todo o tráfego através de seu firewall (como você pode supor, o firewall do nó precisa gerenciar todo o tráfego de / para os VPSs, que Isso realmente afetará o desempenho se ele hospedar um número de VPSs ocupados) Desabilitar qualquer serviço desnecessário no nó principal (serviço de email, serviço de impressora..etc) e desabilitar o acesso root direto será suficiente na maioria dos casos.

    
por 09.09.2011 / 03:27
1

Manter o sistema da sua HN atualizado e configurar corretamente as regras de firewall deve ser suficiente. Eu recomendo usar o Shorewall em vez de iptables nus porque é muito mais fácil de ler (e, portanto, mais fácil de manter bem configurado). Há documentação específica para configurar o Shorewall quando o OpenVZ estiver presente.

Lembre-se também de configurar o sshd para autenticar somente através de chaves privadas e não com senhas. Se você precisa usar senhas, é melhor que seja bom. Se você tem o iLO ou similar, aperte-o também.

    
por 07.09.2011 / 06:42
0

Se estiver usando a distribuição IP automática automática de distribuições OpenVZ (como proxmox), você precisará de CSF / firewalls separados em máquinas host e virtuais. Isto é, dependendo da sua hospedagem ou configuração de rede, seus IPs atribuídos a VMs não estão necessariamente protegidos. Usamos o Proxmox PVE e instalamos o CSF separado no host e cada VM com um IP público.

    
por 09.02.2012 / 11:02