YourQuestion: да попробуйте на сайте proxima.centauri - должны помочь с ТЗ как минимум. А говорят, на сайте alpha.centauri за 20000 чатлов сделают любой ТЗ и угонят любой домен из любой зоны.
По наблюдениям шаред хостинги вымирают. Оно и понятно за сумму такую же или даже меньшую можно взять VPS KVM и делать вообще что угодно. У хостеров часто идут настроенные образы под вордпресс, какой-нибудь екоммерц и т/д, так что даже это уже не нужно админить становится. Поэтому падает доля коробочных PHP решений и растет доля альтернативных, более правильных решений. И это здорово. Засилие php коробок с их известными всем родовыми проблемами достало. Пускай теперь цветут все цветы.
Scorry: ерунду говорите. далеко не все боты сканируют все порты в поисках ssh. Это больше для предотвращения паразитной нагрузки на ssh, чем в качестве реальной защиты. Если авторизация только по ключу - все равно сколько там ботов что там находят. +fail2ban и ваши волосы будут очень шелковистыми
В общем не заработала балалайка. Прописал я:
Subsystem sftp internal-sftp
Match Group www-data
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l INFO -f USER -u 002
после чего вообще перестал логиниться и под рутом и под юзером которого создал для группы www-data
Сергей: ну посмотрел я top, правда вот для этого я действительно не вижу необходимости идти на сервер по ssh. Я его не просто так на ночь лицезрею, значит что-то поломалось или нагрузка или еще что-то. Значит нужны рут права. Про каждый день никто не говорил. Это нужно иногда. А вы каждый день ходите top/htop смотреть?
Что за best practice? Делать пароль на пользователя коротким? Или вообще отключать этот пароль ибо раздражает каждую команду с ним вводить? Речь в вопросе про неконсистентность подхода, а она видимо вызвана тем что реально никакое sudo на сервере в обычном случае не надо. В серверном Debian 8 судо по умолчанию нет. Видимо это и есть best practice
Юрий Чудновский: да, видимо так и сделаю. Речи сейчас идет что все без исключения инструкции по настройке говорят первым пунктом - отключите рут на сервере.
mikes: я действительно не видел ни одной инструкции где одним из первых пунктов не шло бы отключите нафиг рут, сконфигурируйте доступ по ключам, отключите пароли. Между тем следует, что это вообще взаимоисключающие пункты, т/к без рута не залогиниться и нужен другой юзер, которому нужно sudo, которое вообще нафиг на сервере не надо, т/к все равно все нужно делать от суперадмина и судо становится неконсистентной хренью в системе где вся авторизация без пароля (да, ключевая фраза к моим ключам тоже имеется но в маке за меня ее вводит сам клиент беря из связки ключей, что меня полностью избавляет от паролей и повышает секюрность, т/к эта фраза сама может являться ключом из-за своей дины). А от получить по башке табуреткой и темном углу или терморектальный метод для тех кому ДЕЙСТВИТЕЛЬНО НАДА ваших данных вообще не спасут никакие судо, руты и ключи.
