SSH / веб-серверы в контейнерах Linux улучшают безопасность?

Сценарий: машина «шлюз» работает как маршрутизатор и брандмауэр, подключая небольшую локальную сеть к Интернету. Машина также запускает веб-сервер (хостинг простого веб-сайта) и SSH-сервер, предоставляющий (не root) SSH-доступ из Интернета.

Цель: уменьшить вред, причиненный вредоносным хакером, который ворвался в машину через Интернет (только интернет-порты для веб-сервера и SSH-сервера). Ключевой проблемой является прорыв через SSH-сервер, который не должен ставить под угрозу веб-сервер и наоборот.

  • Использовать клавиатурно-интерактивную аутентификацию при подключении ssh к другой команде
  • Переадресация Git
  • Ограничение прав пользователя SSOS SSOS 5 SSH
  • Получить отпечаток ключа сервера SSH
  • Запуск удаленной команды с ssh с получением «bash: / dev / fd / 63: Нет такого файла или каталога»
  • Обратная связь при вводе паролей без раскрытия длины
  • Предлагаемый подход: сконфигурируйте два непривилегированных контейнера LXC, по одному для веб-серверов и SSH-серверов, маршрутизатор / брандмауэр, работающих на главной машине. Контейнеры используют виртуальные сетевые интерфейсы на отдельном мосту для подключения к основной машине, с правилами переадресации портов и брандмауэром, настроенными для включения функций SSH / web.

    Вопросы: Будет ли выше подход обеспечивать лучшую защиту от внешних угроз по сравнению с запуском SSH и веб-серверов непосредственно на машине? Любые недостатки, проблемы для решения? Улучшится ли безопасность, если сам маршрутизатор / брандмауэр будет запущен в третьем контейнере (сопоставлен с физическими сетевыми интерфейсами)? Пожалуйста, не стесняйтесь предоставлять дополнительные комментарии или рекомендации, если у вас есть опыт.

    Linux и Unix - лучшая ОС в мире.