SSH / веб-серверы в контейнерах Linux улучшают безопасность?

Сценарий: машина «шлюз» работает как маршрутизатор и брандмауэр, подключая небольшую локальную сеть к Интернету. Машина также запускает веб-сервер (хостинг простого веб-сайта) и SSH-сервер, предоставляющий (не root) SSH-доступ из Интернета.

Цель: уменьшить вред, причиненный вредоносным хакером, который ворвался в машину через Интернет (только интернет-порты для веб-сервера и SSH-сервера). Ключевой проблемой является прорыв через SSH-сервер, который не должен ставить под угрозу веб-сервер и наоборот.

Предлагаемый подход: сконфигурируйте два непривилегированных контейнера LXC, по одному для веб-серверов и SSH-серверов, маршрутизатор / брандмауэр, работающих на главной машине. Контейнеры используют виртуальные сетевые интерфейсы на отдельном мосту для подключения к основной машине, с правилами переадресации портов и брандмауэром, настроенными для включения функций SSH / web.

Вопросы: Будет ли выше подход обеспечивать лучшую защиту от внешних угроз по сравнению с запуском SSH и веб-серверов непосредственно на машине? Любые недостатки, проблемы для решения? Улучшится ли безопасность, если сам маршрутизатор / брандмауэр будет запущен в третьем контейнере (сопоставлен с физическими сетевыми интерфейсами)? Пожалуйста, не стесняйтесь предоставлять дополнительные комментарии или рекомендации, если у вас есть опыт.

Interesting Posts

как получить торнадо 211g (ACX111), работающий в монетном дворе 13 xfce?

Linux Fedora: как открыть файл со случайным приложением

блоки start-stop-daemon для процесса с бесконечным циклом

Есть ли прочь, чтобы заставить make применить правило к каждому файлу, который соответствует шаблону?

Какая версия Linux для практического использования сценариев / программирования Unix?

Что это за синтаксис Bash: someVariable = someValue

разбиение файла на номер столбца

Если файл переписан с тем же контентом, изменится ли время изменения?

Apache не может разблокировать: не может выделить память

создать хеш md5 из рекурсивного списка файлов, когда некоторые пути имеют пробелы

Запуск MPlayer через скрипт PHP

Как я могу получить / bin / login для таймаута

Резервное копирование в Linux с возобновлением поддерживает только последнюю версию

Как переназначить BIOS Toshiba Satellite L855-10P в Linux Distro?

Установочный компакт-диск Remount Arch Linux для загрузки некоторых дополнительных пакетов

Linux и Unix - лучшая ОС в мире.