LINUX.ORG.RU
ФорумAdmin

Ликбез нужен по web-серверам.

 , ,


2

1

Добрый день. Раньше сайт был на виртуальном хостинге, теперь этого мало, встал вопрос о VPS/Dedicated. Имею навыки работы с CentOS, для внутренненго использования поднимал apache+php+mysql(postgresql)+vsftpd. Это слильно отличается от того, что будет стоять в интернете (всякие там DNS-записи и тп)? Также всего интересует вопрос безопасности. Мне нужнен ликбез + диспетчерский порядок в голове на тему настройки и администрирования web-сервера. Посоветуйте с каких мануалов лучше начать и какими продолжить, чтобы и проект запустить, скажем, в течении месяца и заодно научиться. Спасибо.

не поднимай лишних сервисов
не размещай лишних приложений
меняй пароли и отключай доступ по-умолчанию
настрой firewall
делай бекапы

Вроде всё.

zgen ★★★★★
()

Nginx вместо apache (на худой конец apache за nginx).
FTP не нужен. Научи разрабов (или кто там у вас) пользоваться ssh, а лучше запили выкатку новых версий сразу из системы контроля версий.
Если есть такая возможность то отдай на аутсорс то в чём не разбираешься. Например DNS (DNS хостинг у регистратора) и почту (гуглово-яндексовские почты для домена), тогда на тебе останется только СУБД и собственно веб-сервер. При этом СУБД незачем торчать в интернеты, так-что наружу будет торчать только веб-сервер. Сам nginx вполне безопасен, волноваться стоит из-за запускаемых им веб-приложений, но если не запускать лишнего (на всякий случай: phpmyadmin — не нужен) то это вопрос к разработчиками (или кто там у вас). Можно ограничить вебовые приложения контекстом selinux-а (или как там это в selinux-е называется) что-бы они не могли трогать ничего кроме того что им положено трогать, но не знаю насколько это будет полезно.

MrClon ★★★★★
()

Логирование на внеший сервер через vpn-туннель.
Apache2 не использовать, лучше nginx или lighttpd. Если возможно, скрипты только для чтения, как их директорию, а вот директорию для файлов - и на запись, но в конфигах запретить исполнение от них. Naxsi обязательно.
fail2ban. Если есть возможность, то размещайте всё в отдельных lxc-контейнерах, а лучше виртуалках. Почтовик не используте (кроме dovecot или подобного для отправки) на том же сервере. За просьбу FTP или прямого незашифрованного доступа к mysql бейте раскаленной кочергой по рукам. В ssh-конфиге укажите юзеров, которые должны иметь доступ, урежьте им все права, используйте rssh и choot для этих юзеров. Используйте SELinux. Используйте ключи с паролями. Делайте консистентные бекапы.

В случае аренды - только Xen и KVM, никаких openvz, lxc и других контейнеров. Иначе могут могут быть проблемы из-за взлома через другие контейнеры, а также Вы не сможете полностью контролировать свои приложения и ОС.

И самое главное: не сидите на сервера с машин, у которых не-линукс (или владелец которой очень любит всякие левые ppa).

ktulhu666 ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin