Como ser servidor admin noob e gerenciar segurança no Linode / SliceHost / Webbynode?

3

Esperando que você possa ajudar!

Estou pensando em mover um aplicativo Rails de um provedor de hospedagem compartilhada para um servidor dedicado ou um serviço como o Linode, o SliceHost, o Webbynode etc., onde, se bem entendi, a segurança do servidor é totalmente sua.

Com hospedagem compartilhada, estou acostumado a não ter acesso root e, portanto, o firewall e a maioria das outras preocupações de segurança tendem a ser gerenciados pela empresa de hospedagem.

Então, minha preocupação é migrar para um servidor no qual eu (um administrador de um servidor rookie) cuido da segurança. Eu adoraria ter um administrador do servidor especialista em cuidar disso, no entanto, isso não é possível.

Alguém sabe de um serviço acessível, como o SliceHost ou Webbynode, em que a segurança é gerenciada pelo provedor? Eu olhei para o Heroku, mas devido a um requisito de certificado SSL completo, não é acessível para mim no momento.

Como alternativa, alguém sabe se as imagens do servidor estão disponíveis para uso no Linode / SliceHost / Webbynode / other, onde a segurança é cuidada ou simplificada?

(Eu acho que minha principal preocupação é que eu sou um desenvolvedor de aplicativos da web que acha que vai acabar gastando mais tempo protegendo servidores do que codificando. Talvez eu esteja ficando preocupado com nada.)

Obrigado pelo seu tempo Eliot

    
por Eliot Sykes 09.01.2010 / 18:41

2 respostas

1

Alguém precisa cuidar dessas coisas. Ou você faz isso ou paga alguém para fazer isso. Você está pagando uma empresa de hospedagem para fazê-lo até agora (através das taxas em seu plano de hospedagem compartilhada). Não é apenas a segurança que você precisa pensar, no entanto; Há toda uma gama de coisas que um bom administrador de sistemas fará por você, desde monitorar, instalar e configurar novos softwares conforme necessário, solucionar todos os tipos de problemas e responder proativamente a interrupções.

Sem saber o que "acessível" significa para você, não posso dar recomendações específicas sobre empresas de hospedagem que incluam gerenciamento em seus produtos. Há alguns poucos que fornecem gerenciamento abrangente e alguns poucos mais que afirmam, mas não o fazem. (Eu escrevi uma lista de verificação do que perguntar a uma empresa de hospedagem como parte de uma maior resposta sobre a escolha de uma empresa de hospedagem que deve ser útil na remoção dos executores dos entrevistados). A empresa onde eu trabalho faz isso (e faz muito bem, eu sinto), mas se Heroku não está no seu orçamento, eu duvido que nós também.

No que diz respeito a encontrar uma imagem de VM em que "a segurança é simplificada", isso simplesmente não existe (exceto no caso mais simples em que você usa uma imagem que não inicializa - elas tendem a ser bastante seguras). A segurança do computador não é como um spoiler, é um processo contínuo de análise de seus requisitos em constante mudança, fazendo os ajustes de configuração necessários, às vezes dizendo "não, você não pode fazer isso, você vai ficar pwned" e trabalhando alguma outra solução para o seu problema. Nenhuma imagem de VM pode fazer isso por você; alguém com um cérebro e dedos que trabalham precisa cuidar disso continuamente.

    
por 09.01.2010 / 22:30
1

Os dois aspectos mais importantes para se preocupar são a segurança do SSH e o firewall. Eu recomendaria que você desabilitasse logins de root, criasse um segundo usuário, usasse o sudo e usasse a autenticação de chave pública. É comum que os script-kiddies tentem fazer logins de força bruta. O Fail2ban ajudará com isso (para detectar força bruta e adicionar regras de firewall para banir os IPs)

Para o firewall, você pode usar um front-end muito fácil de configurar para o iptables chamado Firehol . Firehol permite que você escreva regras como:

interface eth0
   server http accept

Por que vale a pena, você precisa ser paranóico. Permitir apenas o que for necessário (por exemplo, você pode precisar apenas das portas 80, 443 e 22.) Não esqueça da segurança em nível de aplicativo.

    
por 09.01.2010 / 20:52