Cenário: Uma máquina 'gateway' funcionando como roteador e firewall, conectando uma pequena rede local à Internet. A máquina também executa um servidor da Web (hospedando um site simples) e um servidor SSH, fornecendo acesso SSH (não raiz) da Internet.
Objetivo: reduzir os danos causados por um hacker mal-intencionado que invade a máquina pela Internet (somente as portas expostas à Internet são para servidor da web e servidor SSH). Uma preocupação importante é que a invasão via servidor SSH não comprometa o servidor da Web e vice-versa.
Abordagem proposta: Configure dois contêineres LXC não privilegiados, um para cada um dos servidores web e SSH, roteador / firewall em execução na máquina principal. Os contêineres usam interfaces de rede virtual em uma ponte separada para se conectar à máquina principal, com regras de encaminhamento de porta e firewall configuradas para habilitar a funcionalidade SSH / web.
Perguntas: A abordagem acima forneceria melhor segurança contra ameaças externas em comparação à execução de SSH e servidores da web diretamente na máquina? Alguma falha, problemas para resolver? A segurança melhoraria se o próprio roteador / firewall fosse executado em um terceiro contêiner (mapeado para interfaces de rede física)? Por favor, sinta-se à vontade para fornecer comentários / sugestões adicionais se você tiver experiência.
Tags ssh networking webserver security lxc