Назад | Перейти на главную страницу

Как быть администратором сервера и управлять безопасностью на Linode / SliceHost / Webbynode?

Надеюсь, ты сможешь помочь!

Я рассматриваю возможность переноса приложения Rails с провайдера общего хостинга на выделенный сервер или службу, такую ​​как Linode, SliceHost, Webbynode и т. Д., Где, если я правильно понимаю, безопасность сервера полностью зависит от вас.

С виртуальным хостингом я привык не наличие корневого доступа и поэтому брандмауэр и большинство других проблем безопасности, как правило, решаются хостинговой компанией.

Поэтому меня беспокоит перемещение на сервер, где я (новичок в админке сервера) забочусь о безопасности. Я бы хотел, чтобы об этом позаботился опытный администратор сервера, но это невозможно.

Кто-нибудь знает о доступном сервисе, таком как SliceHost или Webbynode, где безопасностью управляет провайдер? Я посмотрел на Heroku, но из-за требования полного сертификата SSL в настоящий момент мне это недоступно.

В качестве альтернативы, кто-нибудь знает, доступны ли образы серверов для использования в Linode / SliceHost / Webbynode / другом, где безопасность заботится или упрощается?

(Думаю, меня больше всего беспокоит то, что я разработчик веб-приложений, который думает, что в конечном итоге он потратит больше времени на защиту серверов, чем на кодирование. Возможно, я ни о чем не беспокоюсь.)

Спасибо за уделенное время, Элиот

Два наиболее важных аспекта, о которых нужно беспокоиться, - это безопасность SSH и брандмауэр. Я бы порекомендовал вам отключить вход в систему root, создать второго пользователя, использовать sudo и использовать аутентификацию с открытым ключом. Скрипт-детишки часто пытаются войти в систему с помощью перебора. Fail2ban поможет в этом (чтобы обнаружить брутфорс и добавить правила брандмауэра для запрета IP-адресов)

Для брандмауэра вы можете использовать очень простой в настройке интерфейс для iptables, который называется Firehol. Firehol позволяет писать такие правила, как:

interface eth0
   server http accept

Как бы то ни было, вам нужно быть параноиком. Разрешите только то, что необходимо (например, вам могут понадобиться только порты 80, 443 и 22.) Не забывайте о безопасности на уровне приложений.

Кто-то должен позаботиться об этих вещах. Вы либо делаете это, либо платите кому-то за это. До сих пор вы платили хостинговой компании за это (через плату за ваш общий хостинг-план). Однако вам нужно думать не только о безопасности; хороший системный администратор будет делать за вас целый ряд вещей: от мониторинга, установки и настройки нового программного обеспечения по мере необходимости, устранения всевозможных проблем и активного реагирования на перебои в работе.

Не зная, что для вас значит «доступный», я не могу дать никаких конкретных рекомендаций относительно хостинговых компаний, которые включают менеджмент в свои продукты. Есть несколько которые обеспечивают всестороннее управление, и еще несколько тех, кто утверждает, но не делает. (Я написал контрольный список того, что спросить у хостинговой компании в рамках подробный ответ по выбору хостинговой компании это должно быть полезно для отсеивания деятелей от говорящих). Компания, в которой я работаю, делает это (и, я чувствую, делает это довольно хорошо), но если Heroku не входит в ваш бюджет, я сомневаюсь, что мы тоже.

Что касается поиска образа виртуальной машины, где «безопасность сделана проще», то его просто не существует (за исключением простейшего случая, когда вы используете образ, который не загружается - они, как правило, довольно безопасны). Компьютерная безопасность - это не спойлер на болтах, это постоянный процесс анализа ваших меняющихся требований, внесения необходимых корректировок в конфигурацию, иногда говоря: «Нет, вы не можете этого сделать, вас накажут» и работы найти другое решение вашей проблемы. Никакой образ виртуальной машины не сможет сделать это за вас; кому-то с мозгом и работающими пальцами нужно постоянно о нем заботиться.