SSH / веб-серверы в контейнерах Linux улучшают безопасность?

Сценарий: машина «шлюз» работает как маршрутизатор и брандмауэр, подключая небольшую локальную сеть к Интернету. Машина также запускает веб-сервер (хостинг простого веб-сайта) и SSH-сервер, предоставляющий (не root) SSH-доступ из Интернета.

Цель: уменьшить вред, причиненный вредоносным хакером, который ворвался в машину через Интернет (только интернет-порты для веб-сервера и SSH-сервера). Ключевой проблемой является прорыв через SSH-сервер, который не должен ставить под угрозу веб-сервер и наоборот.

Предлагаемый подход: сконфигурируйте два непривилегированных контейнера LXC, по одному для веб-серверов и SSH-серверов, маршрутизатор / брандмауэр, работающих на главной машине. Контейнеры используют виртуальные сетевые интерфейсы на отдельном мосту для подключения к основной машине, с правилами переадресации портов и брандмауэром, настроенными для включения функций SSH / web.

Вопросы: Будет ли выше подход обеспечивать лучшую защиту от внешних угроз по сравнению с запуском SSH и веб-серверов непосредственно на машине? Любые недостатки, проблемы для решения? Улучшится ли безопасность, если сам маршрутизатор / брандмауэр будет запущен в третьем контейнере (сопоставлен с физическими сетевыми интерфейсами)? Пожалуйста, не стесняйтесь предоставлять дополнительные комментарии или рекомендации, если у вас есть опыт.

Interesting Posts

Имеет ли gsettings интерфейс GUI?

Как записывать содержимое dmesg в файл?

Command 'date + FORMAT' – Что такое% a,% A,% b и т. Д.?

Как упомянуть rpm для поиска зависимых модулей perl в системе

Как построить openssl с clang (а не gcc) на машине FreeBSD?

У какого оконного менеджера есть привязки Python?

Нажмите любую клавишу для приостановки сценария оболочки, нажмите еще раз, чтобы возобновить

Как заставить ghostscript не стирать метаданные PDF

Соединение отклонено на порт 8081, используя завиток

Создание образа Arch Arch создает неверные ошибки связи между устройствами

Использовать mdadm в качестве обходного пути из-за отсутствия поддержки badblocks в btrfs

Нужен ли мне отдельный раздел EFI для каждой ОС, использующей общий диск?

запуск iperf поверх ssh

Ограничение размера блока mkreiserfs, кроме как на странице man / info?

Kernel panic – не синхронизация: попытка убить init! во время ранней загрузки

Linux и Unix - лучшая ОС в мире.