Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Przenoszę serwerownie w nowe miejsce i przy okazji zmieniam troszkę sprzęt. Zastanawiam się, czy ze względów bezpieczeństwa nie zrobić osobnego serwera poczty i DNS (+ew. www).
Co o Tym myslicie?
Offline
Zrób.
Offline
Możesz więcej się wypowiedzieć :-) ??
Dla mnie minus, to
- osobna maszyna
- dodatkowy UPS
- więcej prądu bierze
- więcej nagrzewa otoczenie
- z oszczędności pewnie odpadnie raid w najbliższym czasie (pewnie dodam za jakiś czas)
Plus:
+ bezpieczeństwo
Offline
Ja się kiedyś spotkałem z takim zdaniem odnośnie wirtualizacji, że każdą ważniejszą usługę lepiej postawić osobno.
Offline
[quote=lolek]Możesz więcej się wypowiedzieć :-) ??
Dla mnie minus, to
- osobna maszyna
- dodatkowy UPS
- więcej prądu bierze
- więcej nagrzewa otoczenie
- z oszczędności pewnie odpadnie raid w najbliższym czasie (pewnie dodam za jakiś czas)
Plus:
+ bezpieczeństwo[/quote]
No to nie rób. Skoro ci sie nie kalkuluje sprawa prosta. Ten plus na bezpieczeństwo to za to że jak ktoś na pocztowy wejdzie to może reszty maszyn nie ruszy? Bo imho jedną maszynę można dobrze zabezpieczyć tak jak i trzy. Ja bym się bardziej doszukiwał względów wydajnościowych. Bo z bezpieczeństwem to nie wiem co za różnica oprócz tej co wyżej napisałem. To już może lepiej dwie maszyny, na jednej wszystko na innej jakieś analizatory ruchu, serwer logów, żeby w ogóle móc się dowiedzieć czy atak w ogóle nastapił. Postaw wszystko na OpenBSD, bedzie śmigać i może nikt nie ruszy.
Offline
Maszyna jest konkretna i na zapas ale jakoś nie lubię wirtualizacji.
A i dodatkowy minus... kolejna maszyna więcej hałasu :) no ale to nie będzie tragedii bo myślę, że na maila i dns spokojnie starczy starsza maszyna, której można zrobić tuning :)
Offline
ale jezeli mowa o serwerowni (takiej prawdziwej) to i tak jest tam halas i jedna maszyna wte czy wewte ... co do UPSa to nie musi byc osobny ... moze byc jeden o wystarczajaco duzej mocy ...
wirtualizacja do wiekszosci zastosowan jest fajna :-)
jezeli ma byc to wybor osobne maszyny albo raid to bralbym raida ...
Offline
OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?
Offline
[quote=lolek]OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?[/quote]
Osobna maszyna na DNS z takiego otóż powodu. Jeśli nie daj bóg ktoś by ci się dostał na maszynę poprzez jakiś bug w np. usłudze poczty i miał by dostęp do wszystkich usług na serwerze i wtedy też dostęp do DNS, a wtedy mógłby np. spreparować zapytania o stronę www i przekierować je na jakiś swój serwer ( np zapytania o stronę banku ) jednym słowem nastąpi wyciek poufnych danych. Jeśli by był bardzo złośliwy unieruchomił by całą maszynę to wtedy pada Tobie sieć plus usługi które masz na tej maszynie czyli np. www, poczta co się równa wielkie bubu i usunięcie usterki może potrwać dużo czasu, czego użytkownicy mogą nie przeboleć. Może trzeba sobie zdać sprawę co robi serwer DNS i jakie są konsekwencje braku takiego serwera dla sieci, a wtedy myślę, że odpowiedź jest prosta. Jeśli masz dużo użytkowników to naprawdę warto się zastanowić nad osobnymi serwerami dla poczty, dns, www, dhcp itd. Warto się może zastanowić nad strefa DMZ dla właśnie serwerów z takimi usługami. Lepiej jest dmuchać na zimne.
Ostatnio edytowany przez ba10 (2009-10-14 09:39:50)
Offline
1) Jak jedna maszyna zostanie z dyskryminowana to na reszcie jest czas na poprawienie luki
2) Jak siądzie Tobie maszyna fizyczna to albo przenosisz na inną albo podmieniasz, ale reszta działa dalej
3) Dopuszczasz ruchy tylko dla konkretnej usługi.
4) Exploit na jedną usługę nie dalej dojścia do innych usług
5) Nie przesadzaj z rozbiciem (nadgorliwość gorsza od faszyzmu)
6) Przeprowadzenie ataku blokującego serwer na jeden jest łatwy i położy wszystkie usługi a na kilka maszyn jest trudniejsze.
Offline
[quote=tgR][quote=djjanek]4) Exploit na jedną usługę nie dalej dojścia do innych usług[/quote]
ale jak zdobedzie prawa roota to zadna usluga nie jest zabezpieczona :)[/quote]
Exploit najczęściej polega na przejęciu największego prawa :) i jak masz na kilku maszynach to reszta powinna być bezpieczna :)
Offline
[quote=djjanek][quote=tgR][quote=djjanek]4) Exploit na jedną usługę nie dalej dojścia do innych usług[/quote]
ale jak zdobedzie prawa roota to zadna usluga nie jest zabezpieczona :)[/quote]
Exploit najczęściej polega na przejęciu największego prawa :) i jak masz na kilku maszynach to reszta powinna być bezpieczna :)[/quote]
W sumie to dobry argument.
Offline
@ba10 - nie wiem czy masz dobra czy popsuta szklana kule ;-) ale w watku nigdzie nie bylo ze ten dns jest cache dns ani ze system ten bedzie sluzyl udostepnianiu netu
ogolnie jezeli to ma byc faktycznie (jakis niezaduzy) routing to cache dns stawialbym na maszynie routujacej a na usulugi (masz jakies poza poczta?) robil osobna maszyne ... i to przedewszystkim ze wzgledu na sytuacje awaryjne czyli mozliwosc przerzucenia uslug z jednej maszyny na druga w wypadku padu ...
Offline
[quote=bercik]@ba10 - nie wiem czy masz dobra czy popsuta szklana kule ;-) ale w watku nigdzie nie bylo ze ten dns jest cache dns ani ze system ten bedzie sluzyl udostepnianiu netu[/quote]
Hmm baterie wysiadły i musiałem improwizować ;)
A poważnie kolega lolek nie napisał nic na temat sieci swojej, więc odpowiedź jest jak najbardziej ogólna jak ogólne było pytanie ;) i racja bercik chyba mnie wyobraźnia poniosła.
[quote=djjanek]/.../i jak masz na kilku maszynach to reszta powinna być bezpieczna :)[/quote]
Właśnie mowa jest o tym, że kilka usług znajduje się na jednej maszynie, a więc w razie przejęcia największych praw jest fail, jakby na to nie patrzeć.
[quote=djjanek]Jak bezpieczeństwo to osobne maszyny z rożnymi przystosowanymi do usługi zabezpieczeniami.[/quote]
[quote=djjanek]5) Nie przesadzaj z rozbiciem (nadgorliwość gorsza od faszyzmu)[/quote]
:D
Ostatnio edytowany przez ba10 (2009-10-14 16:25:32)
Offline
@ba10 ja wiem dokladnie co mozna by zrobic wbijajac na DNS-a, jednak o pad jego bardzo bym sie nie martwil bo jest wtedy zapasowy.
Jako serwer pocztowy wybraem qmiala i niby z tego co wiem nie znane sa przypadki aby udao sie komus wbic przez niego :) z reszta nie zmienie i tak na innego bo na dotychczasoej maszynie mam, dziala mi i jestem zadowolony wiec po co sie uczyc nowego.
Jedna duza maszyna to moim zdaniem bezsens... bo jak padnie lub bedzie trzeba zrobic modernizacje to wtedy wsio nie dziala, a tak konkretnie jedna usluga, ktora mozna przezucic na rezerwe.
Decyzja i tak jest juz podjeta odnosnie dzielenia lacza... beda 2 niezalezne maszyny pracujace w routingu dynamicznym, wiec jedna moze nie dzialac calkiem to druga przejmie kontrole nad podzialem lacza itd...
Chcodzilo mi tu o bezpieczenstwo w sensie... hmm jak by tu napisac... rozbic je na prawdopodobienstwa wbicia sie na nie z uwzglednieniem aplikacji krytycznych, czyli jednym sowem podstawowe zadania do wykonania to:
- podzial lacza - tu jak pisalem decyzja podjeta... beda 2 niezalezne maszyny z 2 niezaleznymi laczami (calkowicie redundantne)... generalnie routing oraz QOS + zbieranie i zapisywanie logow polaczen
- serwer RADIUS do autoryzacji klientow (mysle ze beda odpalone na obu maszynach do podzialu lacza)
- serwer DNS (drugi zapasowy serwer jest w zupelnie innej serwerowni)
- serwer WWW (strona firmowa + panel kliencki + panele do zarzadzania siecia)
- baza danych MYSQL (do obslugi paneli do zarzadzania, fakturowania oraz obslugi klientow... dosc istotna kwestia bo wszyscy klienci tu sa zebrani w jednej bazie i dane nie moga wyciec)
- serwer poczty
.... o czyms zapomnialem?
Jakbyscie to rozbili? Wiem wiem najlepiej wszytsko na osobne maszyny ale kasowo nie da rady... za malo userow w sieci aby sobie na to pozwolic... z czasem mysle ze to sie zrobi ale na dzis dzien niestety nie.
Moja propozycja:
Maszyna nr 1:
- podzial lacza
- serwer RADIUS
- serwer WWW
- baza danych MYSQL
Maszyna nr 2:
Maszyna nr 1:
- zapasowy podzial lacza (zsynchronizowany z maszyna nr1)
- zapasowy serwer RADIUS (zsynchronizowany z maszyna nr1)
- zapasowy serwer WWW (zsynchronizowany z maszyna nr1)
- zapasowy baza danych MYSQL (zsynchronizowany z maszyna nr1)
Maszyna nr 3:
- DNS
- serwer poczty
(- moze ftp? bo czasem sie przyda cos udostepnic)
Pod wzgledem prawdopodobienstwa wbicia na jakas usluge bedzie OK? Czy proponujecie zmienic? Jesli tak to prosil bym o info dla czego tak myslicie.
P.S. Czy bind z paczki jest bezpieczny?
Ostatnio edytowany przez lolek (2009-10-15 01:19:32)
Offline
ja bym dns dawal na maszynach routingowych (bo domyslam sie ze ma byc tez chache dns-em dla sieci, wiec wtedy jest usluga o sporym znaczeniu dla sieci) a WWW+MySQL+poczta na maszynie nr 3
Ostatnio edytowany przez bercik (2009-10-15 10:40:31)
Offline
Jest ważny ale nie krytyczny bo zawsze jest secondary DNS. Gdzieś kiedyś czytałem opinie, że BIND nie jest super odporny na włamy dla tego myślałem o daniu go na osobną maszynę.
Offline
Witam. Podepnę się pod wątek: osobne maszyny powiedzmy mini serverownia (www, mail, dns). Czym zgrabnie zarządzacie? Co/jakie oprogramowanie polecacie aby z jednego poziomu konfigurować 3 maszyny? Podzielicie się koledzy doświadczeniami?
Pozdrawiam
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00132 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.81.210' WHERE u.id=1 |
0.00093 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.81.210', 1733960730) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1733960430 |
0.00053 | SELECT topic_id FROM punbb_posts WHERE id=134670 |
0.00160 | SELECT id FROM punbb_posts WHERE topic_id=15203 ORDER BY posted |
0.00056 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15203 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00103 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15203 ORDER BY p.id LIMIT 0,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15203 |
Total query time: 0.00756 s |