Novi strežnik - iščemo admine

Vprasanja, pripombe in ostalo o delovanju streznika S50LEA, S50SOU

Moderatorji: s55o, s51bw, s56wmn

Novi strežnik - iščemo admine

OdgovorNapisal/-a s56wix » 15 Apr 2023, 14:12

Postavlja se nova lea.

Strežnik je HP Proliant DL380g Gen8 z Xeon procesorjem (6 core @ 2.0GHz), 24GB rama in 3 TB prostora (5x1TB v RAID6).

HW so donirali:

- Lovro S50LD (strežnik)
- Bajko S57BBA (disk caddyi)
- Cestel d.o.o. (diski)

Na strežniku teče Debian stable z Xen hypervisorjem (VM host). Obstoječi servisi bodo razdeljeni na virtualke in zanje iščemo admine.

1. Reverse proxy (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska, nginx)
Naloga admina bo skonfigurirati http(s) forwarde, vzrževati ssl certifikate (certbot) in strežnik.

2. Forum (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska, apache2, phpBB)
Naloga admina bo najprej migrirati podatke foruma in potem vzdrževati strežnik.

3. Domače spletne strani (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska sistem + 1TB diska za /home)
Naloga admina bo najprej prestaviti spletne strani uporabnikov in potem vzdrževati strežnik. Prostor za
posamezno spletno stran bo omejen (cca 10GB) oz. večji po dogovoru.

Če imaš željo in znanje katero od naštetih virtualk administrirat se javi.

Hvala,
Matej
Uporabniški avatar
s56wix
 
Prispevkov: 46
Pridružen: 26 Avg 2002, 08:06
Kraj: Ljubljana

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s50zk » 18 Apr 2023, 15:32

Glede na to, da so vse te storitve dokaj lahke, smo mogoče razmišljali o kontejnerizaciji (docker ipd.)? Stvar bi porabila veliko manj resursov, edino za domače spletne strani bi lahko laufali virtualko oz. direktno HTTP strežnik na host-u.
s50zk
 
Prispevkov: 3
Pridružen: 07 Apr 2023, 20:43
Kraj: Kamnik

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a S57NK » 18 Apr 2023, 16:32

s56wix napisal/-a:1. Reverse proxy (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska, nginx)
Naloga admina bo skonfigurirati http(s) forwarde, vzrževati ssl certifikate (certbot) in strežnik.

Za tega se javim lahko jaz, če ne bo drugega. Že sedaj namreč skrbim za HTTPS nad 30+ spletnih storitev, tako da mi je stvar znana. Sem pa pred časom prešel iz Apache ter certbota na strežnik Caddy, ki se je izkazal za dosti boljšega ter lažjega za vzdrževati, še posebej kar se tiče samodejnega podaljševanja Let's Encrypt digitalnih potrdil.

En lep 73
Janko S57NK
S57NK
 
Prispevkov: 75
Pridružen: 03 Avg 2013, 09:18
Kraj: Ajdovščina

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s52aa » 18 Apr 2023, 19:38

Če se rabi pomoč pri prestavljanju obstoječih wordpressov in potem posodabljanju na novem strežniku lahko kaj pomagam.
s52aa
LEA Admin
 
Prispevkov: 539
Pridružen: 16 Nov 2004, 10:33
Kraj: Prelog, JN76HD

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s56wix » 19 Apr 2023, 18:31

S57NK napisal/-a:Za tega se javim lahko jaz, če ne bo drugega.


Janko revprox je tvoj. :D

Narisal sem še shemo zamišljene arhitekture, ki je tule:

http://www.hamradio.si/~s56wix/lea3_vm.svg
Uporabniški avatar
s56wix
 
Prispevkov: 46
Pridružen: 26 Avg 2002, 08:06
Kraj: Ljubljana

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s52kj » 19 Apr 2023, 18:54

s50zk napisal/-a:Glede na to, da so vse te storitve dokaj lahke, smo mogoče razmišljali o kontejnerizaciji (docker ipd.)? Stvar bi porabila veliko manj resursov, edino za domače spletne strani bi lahko laufali virtualko oz. direktno HTTP strežnik na host-u.


Se strinjam, lepo bi bilo nadomestiti z docker rešitvijo
s52kj
 
Prispevkov: 10
Pridružen: 17 Mar 2022, 21:51

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a S57NK » 19 Apr 2023, 19:19

s56wix napisal/-a:Janko revprox je tvoj. :D

Super, pol se pa kar lotmo!

Narisal sem še shemo zamišljene arhitekture, ki je tule:

http://www.hamradio.si/~s56wix/lea3_vm.svg

Koliko je možnosti, da še IPv6 uvedemo? Potem bi lahko imela vsaka virtualka svoj javni IP za SSH, ki pa bi bil naključen iz nabora /64, kar učinkovito onemogoči masovno skeniranje odprtih vrat. To se je vsaj meni izkazalo za učinkovito varnostno politiko.

Potem bi lahko dali revprox kar na javni IPv4 IP, bo manj redirekcij vmes.
S57NK
 
Prispevkov: 75
Pridružen: 03 Avg 2013, 09:18
Kraj: Ajdovščina

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a S57NK » 19 Apr 2023, 19:22

s50zk napisal/-a:Glede na to, da so vse te storitve dokaj lahke, smo mogoče razmišljali o kontejnerizaciji (docker ipd.)? Stvar bi porabila veliko manj resursov, edino za domače spletne strani bi lahko laufali virtualko oz. direktno HTTP strežnik na host-u.

Ideja za razmislit. Morda najbolje, da se vsak skrbnik sam odloči, ali bo svoj del poganjal v dockerju ali polnopravni virtualki. Ali pa v dockerju znotraj svoje virtualke?
S57NK
 
Prispevkov: 75
Pridružen: 03 Avg 2013, 09:18
Kraj: Ajdovščina

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a S57NK » 19 Apr 2023, 19:30

S57NK napisal/-a:Koliko je možnosti, da še IPv6 uvedemo? Potem bi lahko imela vsaka virtualka svoj javni IP za SSH, ki pa bi bil naključen iz nabora /64, kar učinkovito onemogoči masovno skeniranje odprtih vrat. To se je vsaj meni izkazalo za učinkovito varnostno politiko.

Še hitrejša rešitev bi bil prehod na 44 IP ter na S5net, tako da do virtualk samo prek tega omrežja dostopamo. V S5net pa pridemo prek VPN. Strežnik dobi recimo /28 iz slovenskih 44.150/16. IP-jev je dovolj in morda bo tako za koga, ki ni vešč IPv6, tako lažje za vzdrževat.
S57NK
 
Prispevkov: 75
Pridružen: 03 Avg 2013, 09:18
Kraj: Ajdovščina

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s56wix » 19 Apr 2023, 22:14

Malo ozadja...

Največji problem, ki sem ga zaznal pri administraciji leje je bil, da je celoto (mail server, web server, ftp, forum, security, backup, wiki, webmail, komunikacija z uporabniki itd. itd) vzdrževala ena oz. največ dve osebi. Ko je ta oseba odšla, je bilo zamenjavo težko najti iz dveh razlogov; prvič, ker bi nov administrator moral posedovati vsa ta znanja in drugič, ker bi morali novi osebi popolnoma zaupati, ker ji efektivno dajemo keys to the mansion...

Moja prioriteta pri postavljanju novega serverja je tako bila, da lahko vzdrževanje razdelimo na čimveč ljudi, ki pa so medsebojno strogo ločeni, t.j. da si ne hodijo v zelje in eden drugemu ne morejo vplivat na varnost. Če eden od administratorjev odide, lahko (upam) bolj enostavno najdemo zamenjavo, ker sta omenjena problema manjša.

Docker je prva stvar, ki sem jo probal in hitro ugotovil da zame ni primerna. Docker service teče kot root, root v containerju je root v hostu, container efektivno vzdržuje root hosta in ne user v containerju, kar je ravno nasprotje tega kar sem hotel doseči itd. Mogoče se nisem dosti poglobil ampak zame preveč enih konfuznih konceptov in interakcij s hostom. Pri VM je stvar jasna. Penalty VMjev sem poskušal delno omiliti s tem, da so virtualke paravirtualizirane, torej ni potrebne popolne virtualizacije hw.

Kar se tiče varnosti mislim da bomo naredili par korakov naprej s tem, da uvedemo SSL in ugasnemo plain text protokole kot je FTP. Iz tega stališča se mi zdi skrivanje SSH dostopa (portov) pretirano. SSH je mature protokol, admini si lahko varnost dostopa elevirajo s ključi namesto gesli, do userweb serverja pa bodo uporabniki itak rabili SFTP, da bodo lahko gor dali svoje fajle, tako da mora biti port javen. Popravite me, če se motim.

Kar se tiče IPV6 nisem kategorično proti, ampak se bojim lukenj, ki bodo zaradi tega potencialno nastale, veliko bolj kot javno dostopnimi SSH porti. Večina uporabnikov in top sajtov še vedno ni dostopna preko ipv6 in je njegova dodana vrednost omejena. Vsake pol leta probam ipv6 only dostop in sem vedno znova razočaran, stanje pa orisujejo tudi podatki na https://whynoipv6.com (disclaimer: nisem preverjal če zares držijo).

LpM
Uporabniški avatar
s56wix
 
Prispevkov: 46
Pridružen: 26 Avg 2002, 08:06
Kraj: Ljubljana

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s56wix » 19 Apr 2023, 22:24

S57NK napisal/-a:Ali pa v dockerju znotraj svoje virtualke?


Drži. Mogoče nisem bil dovolj jasen; z "administratorjem" mislim človek, ki dobi root dostop do virtualke in tam počne kar mu paše. Ima vse pravice in vso odgovornost, da virtualka izvaja servis, ki mu je namenjena. Če želite poganjat docker v svoji virtualki, be my guest (pun intended), jaz ga pa v xen hostu res nebi.

LpM
Uporabniški avatar
s56wix
 
Prispevkov: 46
Pridružen: 26 Avg 2002, 08:06
Kraj: Ljubljana

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s53cl » 21 Apr 2023, 16:52

Se javim za katero koli virtualko ali pa vse.
73, Luka
s53cl
LEA Admin
 
Prispevkov: 27
Pridružen: 03 Feb 2006, 20:23
Kraj: Šmarje pri Kopru, JN65UM

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s55m » 24 Apr 2023, 20:59

Hvala Luka!
s55m
 
Prispevkov: 1579
Pridružen: 05 Feb 2004, 09:05
Kraj: KN12OR

Re: Novi strežnik - iščemo admine

OdgovorNapisal/-a s52aa » 10 Nov 2023, 17:55

Ker je naslednji teden KVP tekmovanje in KVP spletna stran niti še ni prenesena, sem pod-domeno kvp.hamradio.si sem upam, da začasno? uspel z delno vsebino, prestaviti na zunanji strežnik. Ker nimam dostopa do datotek, sem si moral pomagati z waybackmachine. Upam, da ne bo potrebno enakega postopka za ostale strani.

Še vedno velja moja ponudba za pomoč pri prenosu spletnih strani. Predvideval sem, da bo težava s prenosom dinamičnimi spletnimi stranmi ne pa, da bo tudi statika tak problem.

BTW: Ker strani že toliko časa niso dosegljive, so padle iz google indexa, škoda.
73
s52aa
LEA Admin
 
Prispevkov: 539
Pridružen: 16 Nov 2004, 10:33
Kraj: Prelog, JN76HD


Vrni se na S50LEA

Kdo je na strani

Po forumu brska: 0 registriranih uporabnikov in 2 gostov