Ликбез нужен по web-серверам.

2

1

Добрый день. Раньше сайт был на виртуальном хостинге, теперь этого мало, встал вопрос о VPS/Dedicated. Имею навыки работы с CentOS, для внутренненго использования поднимал apache+php+mysql(postgresql)+vsftpd. Это слильно отличается от того, что будет стоять в интернете (всякие там DNS-записи и тп)? Также всего интересует вопрос безопасности. Мне нужнен ликбез + диспетчерский порядок в голове на тему настройки и администрирования web-сервера. Посоветуйте с каких мануалов лучше начать и какими продолжить, чтобы и проект запустить, скажем, в течении месяца и заодно научиться. Спасибо.

Ссылка

←	Несколько вопросов про icinga.

OpenWrt proxy-client

→

не поднимай лишних сервисов
не размещай лишних приложений
меняй пароли и отключай доступ по-умолчанию
настрой firewall
делай бекапы

Вроде всё.

~~zgen~~ ★★★★★
(22.11.13 11:30:58 MSK)

Ссылка

Nginx вместо apache (на худой конец apache за nginx).
FTP не нужен. Научи разрабов (или кто там у вас) пользоваться ssh, а лучше запили выкатку новых версий сразу из системы контроля версий.
Если есть такая возможность то отдай на аутсорс то в чём не разбираешься. Например DNS (DNS хостинг у регистратора) и почту (гуглово-яндексовские почты для домена), тогда на тебе останется только СУБД и собственно веб-сервер. При этом СУБД незачем торчать в интернеты, так-что наружу будет торчать только веб-сервер. Сам nginx вполне безопасен, волноваться стоит из-за запускаемых им веб-приложений, но если не запускать лишнего (на всякий случай: phpmyadmin — не нужен) то это вопрос к разработчиками (или кто там у вас). Можно ограничить вебовые приложения контекстом selinux-а (или как там это в selinux-е называется) что-бы они не могли трогать ничего кроме того что им положено трогать, но не знаю насколько это будет полезно.

MrClon ★★★★★
(22.11.13 23:19:37 MSK)

Ссылка

Логирование на внеший сервер через vpn-туннель.
Apache2 не использовать, лучше nginx или lighttpd. Если возможно, скрипты только для чтения, как их директорию, а вот директорию для файлов - и на запись, но в конфигах запретить исполнение от них. Naxsi обязательно.
fail2ban. Если есть возможность, то размещайте всё в отдельных lxc-контейнерах, а лучше виртуалках. Почтовик не используте (кроме dovecot или подобного для отправки) на том же сервере. За просьбу FTP или прямого незашифрованного доступа к mysql бейте раскаленной кочергой по рукам. В ssh-конфиге укажите юзеров, которые должны иметь доступ, урежьте им все права, используйте rssh и choot для этих юзеров. Используйте SELinux. Используйте ключи с паролями. Делайте консистентные бекапы.

В случае аренды - только Xen и KVM, никаких openvz, lxc и других контейнеров. Иначе могут могут быть проблемы из-за взлома через другие контейнеры, а также Вы не сможете полностью контролировать свои приложения и ОС.

И самое главное: не сидите на сервера с машин, у которых не-линукс (или владелец которой очень любит всякие левые ppa).

~~ktulhu666~~ ☆☆☆
(23.11.13 20:35:15 MSK)