OpenVZホストノードを保護するにはどうすればよいですか?
いくつかのWebサイトでOpenVZを使用してサーバーを実行しています。 sshd以外のHNには何もありません。 A VM Varnishの場合、a VM MySQLの場合、および1つのWebサイト(Apache/PHPを実行している)ごとにいくつかのVM)。これを保護したいと思います。サーバー、主にネットワーク攻撃から(私は思う)。
私は何をすべきですか? SelinuxをHNにインストールすべきではないことがわかりました。 CSFのインストールは複雑に思えます(いくつかのiptablesルールの微調整が必要です)。
ありがとう、
HWノードでファイアウォールを有効にする前に、VPSとの間でノードを通過するすべてのトラフィックを考慮する必要があるため、HWノードでファイアウォールを構成するのは難しいです。メインノードでファイアウォールを使用する場合は、監査を実行し、それに応じてファイアウォールを構成する必要がある場合があります。通常、DCはハードウェアファイアウォールを使用してノードを攻撃から保護し、ノードのオーバーヘッドがファイアウォールを通過するすべてのトラフィックを管理するのを減らします(ご想像のとおり、ノードファイアウォールはVPSとの間のすべてのトラフィックを管理する必要があります。多くのビジーなVPSをホストしている場合、パフォーマンスに実際に影響します)メインノードで不要なサービス(メールサービス、プリンタサービスなど)を無効にし、直接ルートアクセスを無効にすることでほとんどの場合十分です。
HNのシステムを最新の状態に保ち、ファイアウォールルールを正しく構成するだけで十分です。ベアiptablesの代わりにShorewallを使用することをお勧めします。これは、読みやすく(したがって、適切に構成された状態を維持しやすいため)です。 OpenVZが存在するときにShorewallを構成するための 特定のドキュメント があります。
また、パスワードではなく秘密鍵のみを使用して認証するために、sshdを構成することを忘れないでください。パスワードを使用する必要がある場合は、それが良いでしょう。 iLOなどを使用している場合は、それも締めます。
OpenVZディストリビューションの標準venet自動IP割り当て(proxmoxとして)を使用する場合は、ホストマシンと仮想マシンに別々のCSF /ファイアウォールが必要です。これは、ホスティングまたはネットワーク構成によっては、VMに割り当てられたvenetIPを必ずしも保護する必要がないということです。 Proxmox PVEを使用し、ホストに個別のCSFをインストールし、それぞれVMパブリックIPを使用します。