Kom ihåg mig?

Att gå från webbhotell till VPS

 
Ämnesverktyg Visningsalternativ
Oläst 2013-03-28, 22:04 #1
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

coredev:
Precis som Itisgood.se skriver är det svårt att ge exakta rekommendationer eftersom vi inte vet vad du ska drifta för något.
Men jag ska försöka mig på lite generella svar i alla fall:

Google Apps: +1 - det finns knappt någon anledning att köra något annat idag. Man får allt man får med Hosted Exchange för en bråkdel av priset.

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

Backup: Enklast är att skaffa en backuptjänst. Leverantören kan oftast erbjuda detta. Det finns alla möjliga lösningar från fil- och databasbackuper till full VM-backup. Man vill kanske ha en kombination av båda. Har man en väldigt begränsad budget så kan scripta ihop något eget och skicka till Dropbox, Google Drive eller liknande. Man får värdera sin data, inställningsmöjligheter, kryptering, hur leverantören lagrar datat t.ex. Väljer du att drifta backuplösningen själv på en separat server måste denna självklart finnas på annan fysisk plats.

Uppdateringar: Installation av säkerhetsuppdateringar någon gång i månaden kommer man långt med. Man får också hålla koll på vad som händer inom IT-säkerhet. Är man osäker kan många VPS-leverantörer hjälpa till med management.

Prestanda kan jag tyvärr inte lämna några råd på.

Domänhanteringen sköter där det känns bäst för dig. Var noga med att leverantören har spritt ut sina DNS-servrar. De stora har gjort detta nu (efter många, många år), men det finns fortfarande många webhotell som har båda DNS-servrarna i samma hall..

Ett tips är att du kontaktar ett par leverantörer du är intresserad av för en djupare diskussion.

Självklart ska du ha ett eget privat VLAN för dina servrar.
KristianE är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-28, 22:15 #2
Danieloss avatar
Danielos Danielos är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Oct 2005
Inlägg: 3 102
Danielos Danielos är inte uppkopplad
Klarade millennium-buggen
Danieloss avatar
 
Reg.datum: Oct 2005
Inlägg: 3 102
Citat:
Ursprungligen postat av KristianE Visa inlägg
Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.
Nej, det såg jag inte, jag läste mest: "eftersom detta är första gången vi arbetat med VPS"
Danielos är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-28, 22:43 #3
linusoleander linusoleander är inte uppkopplad
Medlem
 
Reg.datum: Feb 2010
Inlägg: 234
linusoleander linusoleander är inte uppkopplad
Medlem
 
Reg.datum: Feb 2010
Inlägg: 234
Citat:
Ursprungligen postat av KristianE Visa inlägg
Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot. Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Plus en massa annat som du säkert kommer lära dig den hårda vägen
linusoleander är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-29, 10:23 #4
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
Citat:
Ursprungligen postat av linusoleander Visa inlägg
What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot.
Duh! Jag var gott trött igår. Självklart är det bäst att inaktivera root-login.

Citat:
Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.
Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet? Att byta SSH-port är helt OK och stoppar effektivt alla random brute-force-attacker. Det stoppar såklart inte en angripare som verkligen vill in.

Citat:
Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.
Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.

Citat:
Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.
Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.
KristianE är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-29, 14:36 #5
linusoleander linusoleander är inte uppkopplad
Medlem
 
Reg.datum: Feb 2010
Inlägg: 234
linusoleander linusoleander är inte uppkopplad
Medlem
 
Reg.datum: Feb 2010
Inlägg: 234
Citat:
Ursprungligen postat av KristianE Visa inlägg
Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet?
Tror de gäller att vara lite realistisk här. Chansen att du tappar/blir bestulen på datorn och att tjuven är it-tekniker för att sedan plocka ut nycklarna ut din dator – innan du märkt något, är så pass liten att den är försumbar.

Värt att nämna är att jag själv krypterat mina diskar.

Citat:
Ursprungligen postat av KristianE Visa inlägg
Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.
Du menar att hosten skulle sätta upp monit för dig, eller tänkte du att hosten skulle anställa en praktikant som gå in å kollar så att din daemon är igång var 30 sekund?

Jag tror inte att min VPS-host (glesys i mitt fall) skulle ha några resurser att lära sig hur varje system är uppbyggt för att sedan övervaka alla kritiska delar mha valfritt övervakningsverktyg.

Själv låter jag monit övervaka följande saker
  • nginx
  • redis
  • postfix
  • god
  • elasticsearch
  • crond
  • beanstalkd

... sedan använder ja god för att övervaka alla applikationsspecifika bakgrundsprocesser, vilket i mitt fall är ett 20-tal.

Citat:
Ursprungligen postat av KristianE Visa inlägg
Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.
Det är default i mappar som /var/log, men inte applikationsspecifika mappar. Själv har jag app-specifika loggar i /opt/*/*/shared/log. Med app att så syftar jag på applikationer som jag själv byggt, te.x webbapplikationer och bakgrundsprocesser.
linusoleander är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-03-29, 16:21 #6
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
KristianE KristianE är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2008
Inlägg: 3 074
Citat:
Ursprungligen postat av linusoleander Visa inlägg
Du menar att hosten skulle sätta upp monit för dig, eller tänkte du att hosten skulle anställa en praktikant som gå in å kollar så att din daemon är igång var 30 sekund?
Det finns förstås leverantörer som använder Monit men vi själva använder andra övervakningssystem som våra kunder kan nyttja om de vill.

Det är ju självklart upp till dig som kund att informera leverantören vad du vill övervaka.
KristianE är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 21:19.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017