シナリオ:「ゲートウェイ」システムは、小規模なLANをインターネットに接続するルーターとファイアウォールとして機能します。また、このマシンはWebサーバー(簡単なWebサイトホスティング)とインターネットから(ルートではなく)SSHアクセスを提供するSSHサーバーを実行します。
目的:悪意のあるハッカーがインターネットを介してシステムに侵入して発生するダメージを軽減します(WebサーバーとSSHサーバーはインターネットにさらされたポートのみを使用します)。重要な問題は、SSHサーバーを介した侵入によってWebサーバーが破損してはいけません。その逆も同様です。
推奨アプローチ:許可されていない2つのLXCコンテナ(WebおよびSSHサーバー用に1つ)とホスト上で実行されるルーター/ファイアウォールを構成します。コンテナは別のブリッジにある仮想ネットワークインターフェイスを使用してホストに接続され、SSH / Web機能を有効にするようにポート転送とファイアウォールルールが設定されます。
質問:上記のアプローチは、SSHとWebサーバーをコンピュータで直接実行するよりも外部の脅威に対してより良いセキュリティを提供しますか?解決すべき欠陥や問題はありますか?ルータ/ファイアウォール自体が3番目のコンテナ(物理ネットワークインターフェイスにマッピングされている)で実行されている場合、セキュリティは向上しますか?経験がある場合は、他の関連コメント/提案を自由に提供してください。
ベストアンサー1
良い考えです。コンテナがまさにそのような用途です。
これは、コンテナWebサーバーがchrootで頻繁に実行される前は一般的でした。
lxc ネットワークにブリッジを使用せずにルーターモードを使用する場合
lxc.net.0.veth.mode = router
さらに、WebサーバーにはSSHサーバーへのネットワークパスがなく、トラフィックを受信できません。 OpenSSLには、トラフィックスヌーピングを深刻な問題にするバグがあります(胸の痛み)。 www サーバが pwnd にかかる可能性が低い場合でも、 lxc コンテナ内でダメージが少なくなるため、追加のセキュリティ層を持つことをお勧めします。通常のソフトウェアでは、深刻なリモート実行のバグが発生することがあります(シェルショックなど)。