Je fais tourner un serveur utilisant OpenVZ pour quelques sites web. Rien dans HN sauf pour sshd. Une VM pour Varnish, une VM pour MySQL et quelques VM pour chacun des sites web (Apache/PHP). J'aimerais maintenant sécuriser ce serveur, principalement contre les attaques réseau (je pense).
Que dois-je faire ? Je vois que je ne dois pas installer Selinux dans HN. L'installation de CSF semble compliquée (nécessite quelques ajustements de règles iptables).
Gracias,
La mise à jour du système de votre HN et la configuration correcte de ses règles de pare-feu devraient suffire. Je recommande l'utilisation de Shorewall au lieu d'iptables simples parce qu'il est beaucoup plus facile à lire (et donc plus facile à maintenir bien configuré). Il y a documentation spécifique pour configurer Shorewall lorsque OpenVZ est présent.
N'oubliez pas non plus de configurer sshd de manière à ce qu'il ne s'authentifie qu'à l'aide de clés privées et non de mots de passe. Si vous devez utiliser des mots de passe, il vaut mieux qu'ils soient bons. Si vous disposez d'iLO ou d'une solution similaire, renforcez-la également.
La configuration du pare-feu dans le nœud HW est délicate car vous devez prendre en compte tout le trafic qui passe par le nœud depuis/vers vos VPS avant d'activer le pare-feu dans le nœud HW. Vous devrez peut-être faire un audit et configurer le pare-feu en conséquence, si vous comptez en utiliser un dans le nœud principal. Normalement, les DC utilisent un pare-feu matériel pour protéger les nœuds contre les attaques et pour réduire les frais généraux du nœud liés à la gestion de l'ensemble du trafic via son pare-feu (comme vous pouvez le supposer, le pare-feu du nœud doit gérer l'ensemble du trafic en provenance et à destination des VPS, ce qui va réellement affecter les performances s'il héberge un certain nombre de VPS très occupés).
Si vous utilisez l'attribution automatique d'adresses IP des distributions OpenVZ (comme proxmox), vous avez besoin de CSF / firewalls séparés sur l'hôte et les machines virtuelles. En effet, selon la configuration de votre hébergement ou de votre réseau, les IP venet attribuées aux machines virtuelles ne sont pas nécessairement protégées. Nous utilisons Proxmox PVE et installons des CSF séparés sur l'hôte et chaque VM avec une IP publique.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
