VPS. Каковы особенности работы?

Здравствуйте.

Каковы особенности работы VPS-хостинга (например, тот же Digital Ocean, планирую переходить на него)?

Я так понимаю, там для пользователя устанавливается виртуальная машина, и пользователь горазд делать с этим что угодно. Хоть ftp-сервер поднять, хоть установить, что требуется. Понятно, что нужен хороший уровень знания UNIX-систем. Тем не менее, а кто следит за безопасностью, настройками, касающимися безопасности?
  • Вопрос задан
  • 5913 просмотров
Решения вопроса 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Фактически вам дают выделенный сервер (который просто не является железным, на то он и виртуальный). Если говорить про digitalocean - там у вас действительно всё своё выделенное (память не шарится, а аллоцируется при старте виртуалки, ядро процессора для вас личное на тарифах от $10, lvm-том с только вашей виртуалкой (фактически - выделенный для вас раздел raid-массива)).

Всеми настройками внутри системы занимаетесь вы. Более того, хостер даже не отвечает за то, что у вас система запустилась. Если виртуалка грузится до биоса - то свою работу по обеспечению работы сервера хостер выполнил (опустим в этом контексте вопросы про сеть). Если сломали ОС и она не загружается - у вас есть кнопка "переустановить чистую систему". За бэкапы, опять же, отвечаете вы (digitalocean предоставляет платные бэкапы, но они не очень удобны). За безопасность - вы.
В случае с digitalocean у вас есть доступ к "монитору" виртуалки и загрузочный rescue-livecd. В общем-то всё.

По поводу того, как настраивать (если речь про стандартный стек LAMP), то:
1) debian 7 x64
2) отключение авторизации рута по паролю, использование ssh-ключей
3) для диагностики установить snoopy, настроить логгирование sftp.
4) не использовать ftp, использовать только sftp. Желательно, по ключам. В sftp-клиенте ни в коем случае не хранить пароли от аккаунта или ssh ключа.
5) nginx+apache-mpm-itk + php 5.3 и выше + percona-server вместо mysql
6) в конфигах виртуалхостов включите open basedir, если сайт будет с этой настройкой работать (эта опция запрещает php-скриптам при обращении к ним по http выходить за пределы указанных в basedir каталогов)
7) не забудьте включить MatchUser/MatchGroup для виртуалхостов
8) обязательно настроить default host для apache и nginx, чтобы исключить неконтролируемую конфигами обработку каких либо запросов по http. Обычно вешают 403 или 404 ошибку в качестве дефолта.
9) не ставить лишний софт, не вводить бездумно команды из случайно найденных в гугле мануалов, если не понимаете что именно эта команда делает.
10) не ставить софт из исходников, особенно из недоверенных источников.
11) если на сервере нужна исходящая почта, то корректно настроить ограничения для неё. Например, для exim4 (он предпочтителен в Debian) - раз, два.
12) убрать за http-auth все лишние административные скрипты - phpmyadmin, админки сайтов, графики, мониторинг и так далее.

Это исключит почти все возможности атаки на сервер снаружи. В такой конфигурации если вас и взломают, то либо из-за украденного пароля/ключа, либо поломают сам сайт и зальют вредоносные файлы через php-скрипты непосредственно сайта.
Более того, у меня в такой конфигурации пока не сломали ни одну виртуалку целиком (были проблемы с заражением отдельных сайтов, конечно - но это было сделано явно через php), несмотря на разрешающий всё firewall и стандартный ssh-порт.

А вообще за настройку всего этого добра под 2-3 сайта админы берут около 500 рублей.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
HeadOnFire
@HeadOnFire
PHP, Laravel & WordPress Evangelist
В целом @inkvizitor68sl все толково написал, я бы лишь добавил:
1. Новичку, возможно, есть смысл начать не с Debian, а с Ubuntu 12.04. По нему в сети тьма уроков и информации на всех языках мира, так что порог входа будет легче. А по мере того, как станете матерым юниксоидом, ничто не мешает перейти на Debian либо то, что Вам лично уже будет по душе - к тому моменту сами будете для себя это понимать. Перенести сайты с одного дроплета на другой - вопрос нескольких минут.
2. По поводу файрвола. Я у себя через iptables закрыл все нах, оставив только http, ssh и loopback. На DO есть нормальный урок на эту тему.
3. И по поводу почты. Сделать почту правильно на своем сервере - задачка та еще. Лично я вообще не беру на себя ответственность за клиентскую почту, ибо гемор конкретный (а на VPS у меня не только свои проекты, но и клиентские). Идеальный вариант - Яндекс почта для домена (бесплатно) или аналогичное решение от Google (платно). Плюсы этого подхода очевидны: стабильность, надежность, защищенность, привычный GUI вебмейла, уже готовые приложения для iOS/Android и так далее.
Ответ написан
Собственно, сам и следишь, либо наёмный сис. админ. Владельцы сервиса VPS-хостинга просто продают тебе машинное время, место на диске и канал.
Ответ написан
Вы сами и следите за безопасностью вашего VPS.
Вы получаете полностью Ваш виртуальный сервер который сами настраиваете.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы