J'administre une poignée de serveurs en nuage (VPS) pour l'entreprise pour laquelle je travaille.
Les serveurs sont des installations ubuntu minimales qui exécutent des bits de la collecte de piles entrantes / LAMP (rsync). Les données sont volumineuses mais pas personnelles, financières ou quelque chose comme ça (c'est-à-dire pas si intéressant)
Il est clair que les utilisateurs ne cessent de s’interroger sur la configuration de pare - feu , par exemple.
J'utilise un tas d'approches pour sécuriser les serveurs, par exemple (mais pas uniquement)
- ssh sur des ports non standard; aucune saisie de mot de passe, seules les clés ssh connues provenant d'ips connus pour la connexion, etc.
- https et shells restreints (rssh) généralement uniquement à partir de clés / ips connus
- les serveurs sont minimes, à jour et patchés régulièrement
- utiliser des outils comme rkhunter, cfengine, lynis denyhosts, etc. pour la surveillance
J'ai une vaste expérience de l'administrateur système Unix. Je suis convaincu que je sais ce que je fais dans mes installations. Je configure les fichiers / etc. Je n'ai jamais ressenti le besoin impérieux d'installer des éléments tels que des pare-feu: iptables, etc.
Laissons de côté un instant les questions de sécurité physique du VPS.
Q? Je ne peux pas décider si je suis naïf ou si la protection incrémentielle qu'un fw pourrait offrir vaut l'effort d'apprentissage / installation et la complexité supplémentaire (packages, fichiers de configuration, support éventuel, etc.) sur les serveurs.
À ce jour (touch wood), je n'ai jamais eu de problèmes de sécurité, mais je ne suis pas complaisant à ce sujet non plus.