Поставили задачу поднять веб сервер в локальной сети и открыть к нему доступ по SSH. На сервере будет располагаться сайт. Установкой ПО будет заниматься контора, которая делала сайт.
Так вот, как обезопасить сервер, чтоб хлопцы не попали в нашу локальную сеть и не стащили данные?
По сути на самом вебсервере только их сайт, больше там ничего нет.
Пользователя я им своего заведу для установки ПО.
Какие вообще стоит произвести действия, чтоб дальше вебсервера эти хлопцы не зашли?
Сделать все самому. Думаю что LAMP поднять для сайта локальной сети да сайт залить.... Ну и если что-то такое специфическое, то по инструкции "хлопцев".
Ну а так, просто не ясно, что за сеть, что как и на чем сделано.
Сеть 192.168.91.0/24
DC=AD+DHCP - Windows Server 2008
Zyxel USG 100 на страже внешки.
Да поднял бы сам. Сайт на RoR+MySQL+Unicorn+nginx, плюс еще какая-то фигня для поиска ошибок. Но было решено, чтоб они сами делали.
Можно конечно сделать так, они поднимают сайт, делают все необходимые настройки, после отключаем SUDO и делаем права на только на папку с сайтом, а конфиги я уже сам буду рулить по их запросам.
@k3NGuru либо VLAN, либо все равно, что они получат внутри, вы же им не даете доступ на Win Server. Ну я предполагаю, что средствами Win все права/ресурсы распределены и ограничены.
Ну или сейчас народ проснется, что поинтереснее предложит.
@k3NGuru И кстати, если ubuntu будет крутится на виртуалке, то пусть присылают готовый образ, заливайте, ограничивайте хлопцев до нужных им минимальных прав и профит.
Ну и людям нужно доверять. (сказал параноик) Вы же все таки их не на улице по объявлению нашли.
И если они бяки, чтоб им противных закладок на сайт не напихать...
Если все так "секртено", то Вас спасет только установка сервера в отдельный VLAN и выдача через VPN только одного маршрута и только до этого сервера.
Таким образом они через VPN смогут попасть на целевой сервер, а VLAN не даст им с сервера пробовать зайти еще куда-либо в Вашей сети.
Но это все очень жестко. Если у Вас ресурсы остальные в сети как-то прекрыты, например файл-сервер отдает шары для определенных аккаунтов из AD или на сервера пускает только под определенными учетками, то и особо бояться нечего. Вы же исполнителям доступ не на вечно даете. Они работу сделали, Вы доступ забрали.
Простой
Простой
