Freebsd cadeia para uma pequena empresa - lista de verificação - o que não deve esquecer

6

Procurando por uma lista de verificação para um " servidor freebsd / jail de pequena empresa ".

Tendo um ponto de partida bastante comum:

  • Prisão do FreeBSD (remota / sem cabeça) para a empresa:
    • web pública, email, servidor ftp e
    • wiki privado (talvez no futuro parcialmente público) (foswiki)
  • 4 pessoas físicas, (6 endereços de e-mail) + um administrador - outras nunca usarão ssh)
  • já fizeram o endurecimento habitual no lado do host (como pf, sshguard etc).
  • meus principais componentes são: dovecot, exim, apache22, proftpd, perl5.14.

Procurando por uma lista de verificação, o que eu não deveria esquecer. Meu plano agora inclui:

  • certificados autoassinados openssl para exim, dovecot e proftpd (chaves curinga)
  • certificado autoassinado do openssl para o apache (posteriormente, a chave "assinada com confiança")
  • Contas de usuário

mas existem outras recomendações?

relacionado:

por cajwine 27.09.2012 / 16:33

1 resposta

3

Esta é realmente uma das perguntas clássicas do servidor virtual - a única diferença é que você está dizendo "cadeia" em vez de "VM".
Se você remover a palavra "cadeia" da sua pergunta, você sabe o que fazer? (Se assim você pode parar de ler: -)

Uma lista de verificação específica é, por definição, muito localizada para ser respondida na falha do servidor - é intensamente específica para o seu ambiente. Posso dizer-lhe que a sua lista de verificação para a criação de uma cadeia deve ser praticamente idêntica à sua lista de verificação para configurar um servidor (com a ressalva de que você não estará fazendo qualquer coisa relacionada ao kernel, e a adição de etapas com as quais você já deve estar familiarizado - Se o manual do FreeBSD não tiver um belo capítulo abrangente de Jails que deve abranger isso.)

Você já tem uma lista de verificação para configurar um servidor regular?
Se não, deve incluir coisas como:

  • Adicionando contas de usuários locais
  • Instalando os pacotes mais usados
  • Configurar contas de usuário de rede (NIS, LDAP, etc.) se você usá-las
  • Aplicando configuração local (NTP, DNS, etc.)
  • Configurar & configurar os servidores que você deseja executar (Web, Mail, etc.)

Sua lista de verificação completa também pode incluir algumas coisas que não são relevantes para as prisões, como:

  • Particionando seu disco (normalmente as prisões são monolíticas, embora outras configurações sejam possíveis)
  • Instalando um kernel personalizado / configurando módulos carregáveis
  • Configurando o IPMI ou outros controladores de gerenciamento de luzes apagadas

O que você normalmente faria na máquina host como faria com qualquer outro sistema.

Anote o que você faz para sua próxima compilação do servidor.
Se você perdeu alguma coisa, adicione-a à lista enquanto a corrige.

Eventualmente, você terá uma lista de verificação abrangente, específica do local (provavelmente várias. Eu tenho uma para servidores web, uma para servidores de banco de dados, uma para servidores de email ...).

    
por 27.09.2012 / 16:55