Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
- Forum Debian Users Gang
- » Luźne rozmówki
- » Hosting... dedyk (czy jak to się zwie) - pod development
#1 2017-06-18 19:52:43
Huk - 
Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Hosting... dedyk (czy jak to się zwie) - pod development
Witam.
Chodzi mi po głowie chęć hostowania własnej stronki do testów, dewelopingu i tym podobnych pierdół. W tym temacie ze mnie laik i nie wiem czego szukać. Chodzi mi o coś wystawionego na świat, z domeną itd. lokalnie środowiska oczywiście posiadam.
W poprzedniej pracy braliśmy jakieś [b]Kimsufi od OVH z Windosami[/b]. Kosztowało to grosze (hmm 150 zł za rok o ile pamiętam dobrze) i wyglądało to tak że dostawaliśmy wirtualnego Windos Server z dostępem poprzez pulpit zdalny, był to pełny Windos, z IIS, Sql Server itd. na którym normalnie dało się instalować aplikacje. Wystawialiśmy na tym ze 30 stron i działało OK (poza tym że dysk średnio padał raz na kwartał... no ale Kimsufi tak mają/miały).
Mnie chodziło by o coś podobnego tylko z jakimś [b]Linuksem (najlepiej Debianem albo Ubuntu)[/b] żebym sobie mógł się zalogować poprzez SSH (czy coś tam) i strzelić np.:
Kod:
sudo apt-get install postgresql
Żeby do tego było to defaultowo w miarę skonfigurowane (reguły na IP Tables, normalna konfiguracja bezpieczeństwa itd.)
Realnie wyjściowo, plan byłby taki żeby jak najmniejszym wysiłkiem, zainstalować tam dowolny server Http, skonfigurować i wrzucać sobie stronkę/stronki pisane w różnych technologiach (podstawa zapewne [b]ASP.NET Core[/b], ale też [b]Node JS[/b] chodzi mi po głowie).
Są jakieś darmowe/tanie rozwiązania tego typu? Znaczy, są na pewno tylko jak to się zwie? Czego szukać? A może możecie polecić jakiegoś gotowca powiedzmy do 200 zł za rok? Gotowiec rozumiem poprzez: płacę => dostaję dane dostępowe po ssh => loguję się => mam tam jakiś predefiniowany server http który wyświetla pusta stronę => instaluję co chce, jak chce, działam jakby to była moja maszynka fizyczna. Istnieje coś takiego, czy w przypadku Linuksów trzeba wszystko robić samemu?
Z góry dzięki.
Offline
#2 2017-06-18 20:13:28
Marek607 - Użytkownik
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Jeśli potrzebujesz czegoś naprawde prostego to szukaj pod nazwą vps root - wtedy wystarczy "apt-get install apache2" i masz ""It works!""
Konfiguracja serwera to nie samo apt-get bo jest xx składowych - jeżeli chcesz coś typu "wgrywam pliki i działa" to konto www ci starczy - nie masz wtedy jednak możliwości instalacji postgresa czy innych składników bo są one preinstalowane i w otoczce jakiegoś panelu ( directadmin ,cpanel lub jakiś autorski)
Tanidedyk.pl
Offline
#3 2017-06-18 21:20:10
mati75 - Psuj
#4 2017-06-21 22:32:16
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Sorry za opóźnienie, ale z czasem ostatnio krucho.
@Marek607:
Perfekcyjnie mi chodzi o takie ustrojstwo gdzie z jednej strony jest pełny system na który się wbijam przez np. SSH, z drugiej ma już on jakąś domyślną prekonfigurację IpTables, SSH nie jest na domyślnym porcie tylko jakimś innym, a może nawet jakiś nginx czy lighttpd tam stoi. Takie podstawowe środki bezpieczeństwa i pierdoły. Do tego, żeby w razie włamu można było z jakiegoś panelu administracyjnego przywrócić cały system do wersji "gołej", bez konieczności dzwonienia po supportach, jak to czasami miało miejsce w poprzedniej firmie.
@mati75:
Patrząc na to co napisałem wyżej - czy patrząc od strony bezpieczeństwa + przywracania, ma jakieś znaczenie od kogo się bierze, czy też raczej wszystko to jeden bambuk tylko różni się ceną, prędkością i ewentualnie awaryjnością samego sprzętu?
Pozdrawiam.
Offline
#5 2017-06-21 23:18:12
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=Huk]Perfekcyjnie mi chodzi o takie ustrojstwo gdzie z jednej strony jest pełny system na który się wbijam przez np. SSH, z drugiej ma już on jakąś domyślną prekonfigurację IpTables, SSH nie jest na domyślnym porcie tylko jakimś innym, a może nawet jakiś nginx czy lighttpd tam stoi. Takie podstawowe środki bezpieczeństwa i pierdoły. Do tego, żeby w razie włamu można było z jakiegoś panelu administracyjnego przywrócić cały system do wersji "gołej", bez konieczności dzwonienia po supportach, jak to czasami miało miejsce w poprzedniej firmie.[/quote]
To o czym piszesz to maksymalnie kilka godzinek konfiguracji VPS-a.
Poświęcasz jeden dzień na jego podstawową konfigurację (SSH, iptables, AppArmor, LXC itp) i tworzysz sobie taki referencyjny kontener LXC z Apaczami, nginxami czy co tam jeszcze chcesz.
Potem sobie tworzysz klony tego kontenera do testów i zabawy. Gdy coś nie pasuje (lub chciałeś tylko coś przetestować) kontynuujesz pracę na kolejnym klonie kontenera.
VPS-y z KVM masz od kilkudziesięciu zł za miesiąc i masz całkowitą kontrolę nad systemem. Po poświęceniu dnia na jego konfigurację masz potem zupełnie bezobsługową maszynę spełniającą wszystkie te wypisane założenia.
Offline
#6 2017-07-13 15:07:40
woowoowoo - Nowy użytkownik
- woowoowoo
- Nowy użytkownik
- Skąd: wrocław
- Zarejestrowany: 2017-07-13
Re: Hosting... dedyk (czy jak to się zwie) - pod development
promka 3m-ce gratis do konca miesiaca - https://www.ovh.pl/vps/vps-polska/ + vestacp
Offline
#7 2017-07-15 08:30:14
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
@woowoowoo:
Hmm, to jest chyba coś takiego jak braliśmy w firmie - cena podobna i sprzęt też... ciekawe czy tak samo dyski padają jak w Kimsufi :P
@yossarian:
Czyli rozumiem, brać co się chce bo i tak konfiguracja ręczna różnych reguł i bzdetów mnie nie ominie?
Offline
#8 2017-07-15 09:44:39
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Czesc
Popatrz jeszcze na aruba cloud
4 PLN na miesiac za maszyne z ssd 1GB ram na vmware
Offline
#9 2017-07-15 12:38:05
thomsson - Dyskutant
- thomsson
- Dyskutant
- Zarejestrowany: 2011-10-26
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Weź cokolwiek, konfigurację zrób raz, spisz kroki w Ansible, a potem jak będziesz potrzebować to będziesz mógł żonglować kontami jak chcesz - konfiguracja w Ansible zajmie ci w sumie 15 minut
ilin napisał
[i]"DUG to tez moja mała ojczyzna"[/i]
Offline
#10 2017-07-15 13:43:06
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Hosting... dedyk (czy jak to się zwie) - pod development
@Huk:
Zależy co konkretnie chcesz uzyskać. Wg mnie najwygodniej się administruje takimi klonami kontenerów bo konfigurujesz system raz i praktycznie redukujesz ryzyko do 0.
Kod:
lxc-ls --fancy NAME STATE AUTOSTART GROUPS IPV4 IPV6 centos STOPPED 0 - - - deb1 STOPPED 0 - - - deb2 RUNNING 1 - 10.0.3.8 - deb3 STOPPED 0 - - - deb9 RUNNING 0 - 10.0.3.9 -
Nawet aktualizacje masz bezproblemowe bo aktualizujesz klona i sprawdzasz jak działa. Masz wtedy np. 2 (lub więcej) wersje tego samego sytemu (sprzed i po aktualizacji) i możesz się między nimi przełączać i testować:
Kod:
cat /etc/os-release PRETTY_NAME="Debian GNU/Linux 8 (jessie)" NAME="Debian GNU/Linux" VERSION_ID="8" VERSION="8 (jessie)" ID=debian HOME_URL="http://www.debian.org/" SUPPORT_URL="http://www.debian.org/support" BUG_REPORT_URL="https://bugs.debian.org/"
Kod:
cat /etc/os-release PRETTY_NAME="Debian GNU/Linux 9 (stretch)" NAME="Debian GNU/Linux" VERSION_ID="9" VERSION="9 (stretch)" ID=debian HOME_URL="https://www.debian.org/" SUPPORT_URL="https://www.debian.org/support" BUG_REPORT_URL="https://bugs.debian.org/"
Przypomina to migawki w systemach wirtualizacji, tylko w tym przypadku jest to o wiele prostsze.
Offline
#11 2017-07-15 14:38:39
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
1. Aruba ma fajną cenę na ten 1G RAM, ale 1GB Ram to troszkę mało, jak ktoś chciałby postawić serwer poczty z Spamd i Clamd to RAMu mu od razu zabraknie.
VPS z 2GB Ram w Aruba kosztuje 25 netto, dla porównania w OVH VPS1 kosztuje 12 netto.
2. LXC to fajna zabawka w kategorii "chroot na sterydach", jak kiedyś OpenVZ, dużo większe możliwości ma KVM włącznie ze snapshotami, mapowaniem urządzeń do gościa,
OS na KVM zazwyczaj w ogóle nie wie, że jest na maszynie wirtualnej a nie na kompie.
Przypomina to migawki w systemach wirtualizacji, tylko w tym przypadku jest to o wiele prostsze.[/quote]
Jakie? O ile prostsze? xD
QEMU:Kod:
qemu-img create -f qcow2 -b centos-cleaninstall.img snapshot.imgVirsh:
Kod:
virsh snapshot-create-as --domain {VM-NAME} --name "{SNAPSHOT-NAME}"Sznurki:
http://wiki.qemu.org/Documentation/CreateSnapshot
https://www.cyberciti.biz/faq/how-to-create-create-snapshot-in-linux-kvm-vmdomain/
PozdroOstatnio edytowany przez Jacekalex (2017-07-15 14:44:28)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#12 2017-07-15 15:15:29
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Hosting... dedyk (czy jak to się zwie) - pod development
I chcesz uruchamiać wirtualki KVM na VPS za 5 zł?
Genialny pomysł...
Żeby porównywać współczesne linuksowe kontenery (LXC, systemd-nspawn, Docker etc.) z chrootem to trzeba być totalnym ignorantem.
Offline
#13 2017-07-17 08:43:37
woowoowoo - Nowy użytkownik
- woowoowoo
- Nowy użytkownik
- Skąd: wrocław
- Zarejestrowany: 2017-07-13
Re: Hosting... dedyk (czy jak to się zwie) - pod development
@Huk dyski powinny być lepsze. W kimsufi jest faktycznie sam paździerz, cieżko złapać nawet coś z ssd. Te vpsy stoją w nowym DC w Warszawie, raczej nie zwozili tam staroci;)
Offline
#14 2017-07-17 14:27:54
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=yossarian]I chcesz uruchamiać wirtualki KVM na VPS za 5 zł?
Genialny pomysł...
Żeby porównywać współczesne linuksowe kontenery (LXC, systemd-nspawn, Docker etc.) z chrootem to trzeba być totalnym ignorantem.[/quote]
VPS za 5 zeta to nie VPS tylko zazwyczaj chroot na sterydach, na którym praktycznie nic się nie da.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#15 2017-07-17 18:03:35
mati75 - Psuj
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=Jacekalex]VPS za 5 zeta to nie VPS tylko zazwyczaj chroot na sterydach, na którym praktycznie nic się nie da.[/quote]
Aruba to wirtualizacja na vmware.
[img]https://l0calh0st.pl/obrazki/userbar.png[/img]
Offline
#16 2017-07-17 18:11:42
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=mati75][quote=Jacekalex]VPS za 5 zeta to nie VPS tylko zazwyczaj chroot na sterydach, na którym praktycznie nic się nie da.[/quote]
Aruba to wirtualizacja na vmware.[/quote]
Oczywiście, że na VMware, ale realne zasoby też mają conieco do powiedzenia w przypadku serwera i wirtualizacji.
Np jeden kolega z tego forum próbował stawiać serwer pocztowy na VPS z 1GB RAM,
ale niestety Clamd i Spamd wyleczyły go z tego planu dosyć skutecznie. xD
Ostatnio edytowany przez Jacekalex (2017-07-17 18:13:21)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#17 2017-07-17 19:15:54
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=Huk]Chodzi mi po głowie chęć hostowania własnej stronki do testów, dewelopingu i tym podobnych pierdół.[/quote]
Offline
#18 2017-07-17 19:57:31
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
[quote=yossarian][quote=Huk]Chodzi mi po głowie chęć hostowania własnej stronki do testów, dewelopingu i tym podobnych pierdół.[/quote]
[/quote]
W jakiej technologii ta stronka?
PHP+JS+Jquery czy może Java i Tomcat albo MS IIS i NET (który emulować próbuje ze średnim skutkiem libapache2-mod-mono)?
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#19 2017-07-17 23:24:23
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Dobra ludzie STOP! Wrzućcie na luz bo zaraz znowu się zrobi jatka polityczna z dupy o wyższości jednego nad drugim a nie po to temat był zakładany :)
Cel tego ustrojstwa to jest wystawienie strony - z założenia w [b].NET Core[/b], ale też możliwe że również czegoś w [b]NodeJS[/b] jak mnie kiedyś najdzie żeby się w to zagłębiać. O Javie kiedyś myślałem ale... szczerze nie mam czasu się w to zagłębiać.
Coraz bardziej wychodzi mi potrzeba z jednej strony testowania różnych rozwiązań webowych, których testowanie lokalne mija się z celem, a z drugiej, mam pomysł na apkę (webową) dla siebie która by mi pomogła w kilku kwestiach.
Jak będę miał coś stawiać, to musi się to integrować z bazą danych (na 99% z [b]Postgres[/b] bo wsparcie najbardziej uniwersalne i pod .NET działa zajebiście bez zbędnych ceregieli) i tyle... (no... może jeszcze jakieś NoSql kiedyś) żadnych serwerów pocztowych, spamowych czy innego ustrojstwa tego typu tam na pewno nie planuję stawiać.
Najprościej to pewnie by wyglądało tak:
[b]Nginx (czy tam inne ustrojstwo) + strona w .NET Core + PostgreSQL[/b]
[b]KONIEC[/b]
Początkowo planowałem postawić to na RPI albo Odroidzie u siebie w domu + dyndns, ale doszedłem do wniosku że jako że na admince się nie znam, to nie chcę ryzykować włamu na sieć domową jak o jakimś zabezpieczeniu zapomnę, wolę te 200 zł rocznie wydać na jakiś serwer z dupy na który się mogą włamywać do woli, stąd cały temat.
No i że nigdy w tego typu rzeczy się nie bawiłem to nie wiem jak to wygląda, stąd konsultacje ;] - w poprzedniej firmie Kimsufi braliśmy z Windos, tyle wiem - Windos Server był prekonfigurowany tak że standardowo nic na nim nie działało, trzeba było otwierać porty na każdą usługę którą się chciało postawić. Stąd w zasadzie było moje pytanie czy tak samo to wygląda na Linuksach które są instalowane na tych serwerach, czy też... jak to kiedyś było, nawet w ipTables potrafili zostawić reguły domyślne (czytaj. wszystko na ALLOW bez żadnych blokad) i 'niech se juser skonfiguruje'
Z tego co napisaliście rozumiem chyba że bez zagłębiania się w jakieś artykuły o konfiguracji bezpieczeństwa Linuksa się nie obejdzie...? Mówimy tutaj o jakiejś większej lekturze czy kilku artykułach na godzinkę czytania?
Offline
#20 2017-07-18 01:13:00
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Domowa sieć zagrożona?
Że Co proszę?
Ja tam zawsze konfiguruję wszystko tak, jakby działało w publicznym hotspocie, a nie w sieci lokalnej, bo sieć lokalna, gdzie nie ma już aktualizacji dla softu w routerze (90% działających urządzeń czeka taka sytuacja w przyszłości), to nie jest żadne bezpieczne miejsce.
Dlatego nie ma żadnego problemu z Odroidem czy RPI i DynDNS, a podstawy adminki przydadzą się każdemu programiście, żeby lepiej rozumiał, co "jest wykonalne" na serwerach.
RPI z Rasbianem i tak wytrzyma więcej niż dowolny Windows 7, choćby ją szympans konfigurował, a nie programista.
Jak potrzebujesz jakieś reguł ki do FW czy profile Apparmora to pisz.
Grsec się tylko skichał, został zamiast niego tylko [url=https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project]KSPP[/url] i jakieś dziwne łatki z LKML, ale życie toczy się dalej.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-07-18 01:17:24)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#21 2017-07-20 20:46:59
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
@Jacekalex:
Musiałbym wydębić jeszcze publiczne IP od mojego dostawcy - do zrobienia ale szybciej będzie kupić to o czym mowa w wątku. Inna sprawa że mów co chcesz, ale wystawienie strony na świat, jednak zwiększa zainteresowanie moją siecią domową a tego bym nie chciał.
Jak potrzebujesz jakieś reguł ki do FW czy profile Apparmora to pisz.
Grsec się tylko skichał, został zamiast niego tylko KSPP i jakieś dziwne łatki z LKML, ale życie toczy się dalej.[/quote]
Widzisz, nie mam pojęcia co to jest "FW" a o AppArmor to ostatnio słyszałem chyba 3 lata temu - o reszcie wcale :P Nie ukrywam że chcę to zrobić jak najmniejszym wysiłkiem bo nie o naukę adminki mi chodzi tylko żeby strona do testów stała. Tak więc wracamy do serwerka.
Do tematu na poważnie pewnie siądę w najbliższym czasie, bo w końcu chwilę oddechu w robocie mam.
Offline
#22 2017-07-20 21:50:16
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
FW - firewall.
Publiczne IP od dostawcy? Co to za dostawca?
Pytam bo wszystkie UPC, Vectry itp mają jakieś zapasy adresów, także dają takowe.
Domowa sieć powiadasz?
Zawsze możesz za jakieś 100-200 zł wytargać dodatkowy router, który będzie bramą między częścią publiczną i prywatną tej sieci domowej.
Poza tym do testowania softu lepszy będzie IPv6, bo adresów tam mają pierdyliony, żaden kryzys z wyczerpaniem nie grozi, a prędzej czy później IPv6 i tak wejdzie, i przy okazji sporo małych i durnych firemek od netu pójdzie do /dev/null, bo wdrażanie Ipv6 pod presją czasu, w sieci na 2000 pacjentów dlatego, że YT albo FB wyłączył Ipv4, to jest egzamin, którego 85% firm nie wytrzyma w ogóle.
Dlatego odsuwanie Ipv6 w czasie wg zasady "a jakoś to będzie", "może nie będzie tak strasznie" to jest idiotyzm.
Jak faktycznie możliwości adresowe ma Twój ISP zobacz tutaj:
http://bgp.he.net/
To mój obecny ISP:
http://bgp.he.net/AS29314
Porównanie liczby prefixów obecnego ISP przy okazji:
Kod:
Prefixes Originated (v4): 127 Prefixes Originated (v6): 19 Prefixes Announced (v4): 263 Prefixes Announced (v6): 30
Przy okazji widać jak na dłoni, jak się skończy IPv4 - Vectra ma pierdylion oddzielnych bloków IP z maską /24, każdy taki blok, to osobny wpis w tablicy BGP.
Jeżeli takie fragmentowanie adresów będzie postępować na całym świecie, to będzie trzeba albo wymieniać routery brzegowe, żeby pomieściły nowe rozmiary tablic BGP, albo wiać na Ipv6, który przynajmniej część sprzętu obrobi.
Problem polega na tym, że taka zmiana będzie dosyć nagła i bolesna.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-07-20 23:23:06)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#23 2017-09-10 19:56:39
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Szanowni, temat powrócił - zakupiłem [b]w końcu[/b] to z OVH o czym pisał @woowoowoo. Na razie mam tam czystego Debiana 9, wszystkie dostępy poza KVM z przeglądarki, powyłączane... za to iptables tak jak się spodziewałem:
Kod:
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Czyli akceptuj wszystko jak leci... OK, mój cel na chwile obecną to:
1. Zabezpieczenie tego tak żeby dało się tam bezpiecznie wbić po SSH
2. Wystawienie stronki statycznej na jakimś ngin'xie czy czymś (wjazd po IP oczywiście, domena mi na razie nie potrzebna)
3. Na końcu instalacja .Net Core i wystawienie czegoś w tym
Pytanie od zacząć punkt AD1 i co tam pogrzebać? SSH na port inny niż domyślny to w sumie tyle co wiem :P ale IPTABLES chyba też nie może zostac jak wyżej, prawda? Prośba o jakieś wskazówki bo z konfiguracji serwerów jestem zielony :)
EDIT:
Lukam sobie na to:
https://www.digitalocean.com/community/tutorials/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud-server
Zainstalowałem ufw i już normalniej to wygląda (znaczy chyba, przynajmnije [b]iptables -L[/b] listuje jakies reguły, a nie tak jak wyżej było).
Ostatnio edytowany przez Huk (2017-09-10 20:08:36)
Offline
#24 2017-09-10 21:06:58
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Iptables domyślnie zawsze jest na ACCEPT.
UFW to lamerstwo, lepiej sobie skonfigurować porządnie netfiter przy pomocy {iptables,nftables}.
Tu masz instrukcję:
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
Ostatnio edytowany przez Jacekalex (2017-09-10 21:07:24)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#25 2017-09-11 00:19:10
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Hosting... dedyk (czy jak to się zwie) - pod development
Zobaczę jeszcze czy się będę bawił we własne reguły - lamerskie czy nie, to [b]ufw[/b] wydaje się działać... Nawet udało mi się już stronkę testową na .NET Core wystawić i spiąć z PostgreSQL, więc napawa optymizmem...
Aczkolwiek, jakbym miał się brać za pisanie własnych reguł - to pytanie czy dobrze tutaj myślę że taki flow konfiguracyjne wystarczy:
1. Firewall - standardowo odrzucać wszystko, poza portami dla HTTP/HTTPS oraz SSH - już coś takiego kiedyś pisałem w tym temacie:
https://forum.dug.net.pl/viewtopic.php?id=20498
2. SSH - tak jak wcześniej, zamiast portu 22 dać jakiś inny, wyłączyć logowanie root'a, włączyć tylko protokół mk. 2 itd.
To w zasadzie tyle co mi do głowy przychodzi jako taka podstawa zabezpieczeń - o czymś jeszcze powinienem pamiętać?
Jeszcze się tak zastanawiam, czy jest sens jakoś próbować dodawać czasowy banning IP, w przypadku iluś tam nieudanych prób logowania? Do tego jest chyba trzeba użyć [b]Fail2Ban[/b] lub czegoś podobnego?
Offline
- Forum Debian Users Gang
- » Luźne rozmówki
- » Hosting... dedyk (czy jak to się zwie) - pod development
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00101 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.59.111.183' WHERE u.id=1 |
| 0.00061 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.59.111.183', 1732375866) |
| 0.00047 | SELECT * FROM punbb_online WHERE logged<1732375566 |
| 0.00079 | DELETE FROM punbb_online WHERE ident='3.12.123.41' |
| 0.00062 | SELECT topic_id FROM punbb_posts WHERE id=312588 |
| 0.00007 | SELECT id FROM punbb_posts WHERE topic_id=29667 ORDER BY posted |
| 0.00053 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29667 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00312 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29667 ORDER BY p.id LIMIT 0,25 |
| 0.00073 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29667 |
| Total query time: 0.00819 s | |