Kam umistit servery (DNS, mail, HTTP, proxy...)?
Petr Rehor
petr.rehor at i.cz
Fri Feb 21 08:40:27 CET 2003
> Co je to DMZ? Samostatna vetev site za firewallem? Na
> samostatne vetvi za firewallem, ktera nema pristup do vnitrni
> site, uz ted bezi http server.
DMZ je demilitarizovana zona a muze byt realizovana treba tak
jak to popisujete nebo jako segment mezi externim a internim
firewallem.
> Bylo by tedy rozumne dat DNS/MAIL/FTP na stejnou vetev nebo
Pokud je ten DNS/MAIL/FTP verejne pristupny tak jiste ano.
> dokonce na stejny stroj?
To uz je otazka stupne paranoi a stavu vaseho konta. Lze pouzit
oba pristupy - vsechno na jednom nebo na kazdou sluzbu samostatny
server, nebo to zkombinovat. Taky si muzete pomoct a vytvorit
"virtualni" servery na jedne masine pomoci jail a chroot a v nich
provozovat jednotlive sluzby.
> Jak potom resit na takove siti pripadne upgrady pomoci cvsup?
> Mit na kazdem stroji extra zrdojaky? Nebo radej nainstalovat
> jednu verzi a tu pak provozovat nejakou delsi dobu? Bezpecnost
> dat na fileserveru je dost podstatna...
Na stroje v DMZ bych zdrojaky snad vubec nedaval. Upgrady muzete
delat tak, ze si novou verzi FreeBSD a balicku prelozite na
nejakem stroji v interni siti, vypalite na CD a z nej potom
upgradujete stroje v DMZ.
Pro stroje v DMZ pouzivam RELEASE branch tak dlouho dokud je
podporovan Security Officerem (fuj, ale jak to rict cesky
lip ?:-), ve kterem se opravuji pouze objevene chyby, takze
tech zmen nebyva mnoho.
Petr Rehor
ICZ a.s.
Pobocka Ceske Budejovice
J. S. Baara 40, 370 01 Ceske Budejovice, CZ
Tel: +420 387 312 808
Fax: +420 387 311 480
mailto:petr.rehor at i.cz
http://www.i.cz
More information about the Users-l
mailing list