[KristianE]

Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

coredev:
Precis som Itisgood.se skriver är det svårt att ge exakta rekommendationer eftersom vi inte vet vad du ska drifta för något.
Men jag ska försöka mig på lite generella svar i alla fall:

Google Apps: +1 - det finns knappt någon anledning att köra något annat idag. Man får allt man får med Hosted Exchange för en bråkdel av priset.

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

Backup: Enklast är att skaffa en backuptjänst. Leverantören kan oftast erbjuda detta. Det finns alla möjliga lösningar från fil- och databasbackuper till full VM-backup. Man vill kanske ha en kombination av båda. Har man en väldigt begränsad budget så kan scripta ihop något eget och skicka till Dropbox, Google Drive eller liknande. Man får värdera sin data, inställningsmöjligheter, kryptering, hur leverantören lagrar datat t.ex. Väljer du att drifta backuplösningen själv på en separat server måste denna självklart finnas på annan fysisk plats.

Uppdateringar: Installation av säkerhetsuppdateringar någon gång i månaden kommer man långt med. Man får också hålla koll på vad som händer inom IT-säkerhet. Är man osäker kan många VPS-leverantörer hjälpa till med management.

Prestanda kan jag tyvärr inte lämna några råd på.

Domänhanteringen sköter där det känns bäst för dig. Var noga med att leverantören har spritt ut sina DNS-servrar. De stora har gjort detta nu (efter många, många år), men det finns fortfarande många webhotell som har båda DNS-servrarna i samma hall..

Ett tips är att du kontaktar ett par leverantörer du är intresserad av för en djupare diskussion.

Självklart ska du ha ett eget privat VLAN för dina servrar.

[Danielos]

Citat:

Ursprungligen postat av KristianE

Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

Nej, det såg jag inte, jag läste mest: "eftersom detta är första gången vi arbetat med VPS"

[linusoleander]

Citat:

Ursprungligen postat av KristianE

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot. Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Plus en massa annat som du säkert kommer lära dig den hårda vägen

[KristianE]

Citat:

Ursprungligen postat av linusoleander

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot.

Duh! Jag var gott trött igår. Självklart är det bäst att inaktivera root-login.

Citat:

Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet? Att byta SSH-port är helt OK och stoppar effektivt alla random brute-force-attacker. Det stoppar såklart inte en angripare som verkligen vill in.

Citat:

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.

Citat:

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.

[linusoleander]

Citat:

Ursprungligen postat av KristianE

Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet?

Tror de gäller att vara lite realistisk här. Chansen att du tappar/blir bestulen på datorn och att tjuven är it-tekniker för att sedan plocka ut nycklarna ut din dator – innan du märkt något, är så pass liten att den är försumbar.

Värt att nämna är att jag själv krypterat mina diskar.

Citat:

Ursprungligen postat av KristianE

Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.

Du menar att hosten skulle sätta upp monit för dig, eller tänkte du att hosten skulle anställa en praktikant som gå in å kollar så att din daemon är igång var 30 sekund?

Jag tror inte att min VPS-host (glesys i mitt fall) skulle ha några resurser att lära sig hur varje system är uppbyggt för att sedan övervaka alla kritiska delar mha valfritt övervakningsverktyg.

Själv låter jag monit övervaka följande saker

• nginx
• redis
• postfix
• god
• elasticsearch
• crond
• beanstalkd

... sedan använder ja god för att övervaka alla applikationsspecifika bakgrundsprocesser, vilket i mitt fall är ett 20-tal.

Citat:

Ursprungligen postat av KristianE

Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.

Det är default i mappar som /var/log, men inte applikationsspecifika mappar. Själv har jag app-specifika loggar i /opt/*/*/shared/log. Med app att så syftar jag på applikationer som jag själv byggt, te.x webbapplikationer och bakgrundsprocesser.

[KristianE]

Citat:

Ursprungligen postat av linusoleander

Du menar att hosten skulle sätta upp monit för dig, eller tänkte du att hosten skulle anställa en praktikant som gå in å kollar så att din daemon är igång var 30 sekund?

Det finns förstås leverantörer som använder Monit men vi själva använder andra övervakningssystem som våra kunder kan nyttja om de vill.

Det är ju självklart upp till dig som kund att informera leverantören vad du vill övervaka.