S50LEA

Postavlja se nova lea.

Strežnik je HP Proliant DL380g Gen8 z Xeon procesorjem (6 core @ 2.0GHz), 24GB rama in 3 TB prostora (5x1TB v RAID6).

HW so donirali:

- Lovro S50LD (strežnik)
- Bajko S57BBA (disk caddyi)
- Cestel d.o.o. (diski)

Na strežniku teče Debian stable z Xen hypervisorjem (VM host). Obstoječi servisi bodo razdeljeni na virtualke in zanje iščemo admine.

1. Reverse proxy (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska, nginx)
Naloga admina bo skonfigurirati http(s) forwarde, vzrževati ssl certifikate (certbot) in strežnik.

2. Forum (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska, apache2, phpBB)
Naloga admina bo najprej migrirati podatke foruma in potem vzdrževati strežnik.

3. Domače spletne strani (PV guest, Debian stable, 2 cpu, 2-4GB rama, 16GB diska sistem + 1TB diska za /home)
Naloga admina bo najprej prestaviti spletne strani uporabnikov in potem vzdrževati strežnik. Prostor za
posamezno spletno stran bo omejen (cca 10GB) oz. večji po dogovoru.

Če imaš željo in znanje katero od naštetih virtualk administrirat se javi.

Hvala,
Matej

Glede na to, da so vse te storitve dokaj lahke, smo mogoče razmišljali o kontejnerizaciji (docker ipd.)? Stvar bi porabila veliko manj resursov, edino za domače spletne strani bi lahko laufali virtualko oz. direktno HTTP strežnik na host-u.

Za tega se javim lahko jaz, če ne bo drugega. Že sedaj namreč skrbim za HTTPS nad 30+ spletnih storitev, tako da mi je stvar znana. Sem pa pred časom prešel iz Apache ter certbota na strežnik Caddy, ki se je izkazal za dosti boljšega ter lažjega za vzdrževati, še posebej kar se tiče samodejnega podaljševanja Let's Encrypt digitalnih potrdil.

En lep 73
Janko S57NK

Če se rabi pomoč pri prestavljanju obstoječih wordpressov in potem posodabljanju na novem strežniku lahko kaj pomagam.

Janko revprox je tvoj.

Narisal sem še shemo zamišljene arhitekture, ki je tule:

http://www.hamradio.si/~s56wix/lea3_vm.svg

Se strinjam, lepo bi bilo nadomestiti z docker rešitvijo

Super, pol se pa kar lotmo!


Koliko je možnosti, da še IPv6 uvedemo? Potem bi lahko imela vsaka virtualka svoj javni IP za SSH, ki pa bi bil naključen iz nabora /64, kar učinkovito onemogoči masovno skeniranje odprtih vrat. To se je vsaj meni izkazalo za učinkovito varnostno politiko.

Potem bi lahko dali revprox kar na javni IPv4 IP, bo manj redirekcij vmes.

Ideja za razmislit. Morda najbolje, da se vsak skrbnik sam odloči, ali bo svoj del poganjal v dockerju ali polnopravni virtualki. Ali pa v dockerju znotraj svoje virtualke?

Še hitrejša rešitev bi bil prehod na 44 IP ter na S5net, tako da do virtualk samo prek tega omrežja dostopamo. V S5net pa pridemo prek VPN. Strežnik dobi recimo /28 iz slovenskih 44.150/16. IP-jev je dovolj in morda bo tako za koga, ki ni vešč IPv6, tako lažje za vzdrževat.

Malo ozadja...

Največji problem, ki sem ga zaznal pri administraciji leje je bil, da je celoto (mail server, web server, ftp, forum, security, backup, wiki, webmail, komunikacija z uporabniki itd. itd) vzdrževala ena oz. največ dve osebi. Ko je ta oseba odšla, je bilo zamenjavo težko najti iz dveh razlogov; prvič, ker bi nov administrator moral posedovati vsa ta znanja in drugič, ker bi morali novi osebi popolnoma zaupati, ker ji efektivno dajemo keys to the mansion...

Moja prioriteta pri postavljanju novega serverja je tako bila, da lahko vzdrževanje razdelimo na čimveč ljudi, ki pa so medsebojno strogo ločeni, t.j. da si ne hodijo v zelje in eden drugemu ne morejo vplivat na varnost. Če eden od administratorjev odide, lahko (upam) bolj enostavno najdemo zamenjavo, ker sta omenjena problema manjša.

Docker je prva stvar, ki sem jo probal in hitro ugotovil da zame ni primerna. Docker service teče kot root, root v containerju je root v hostu, container efektivno vzdržuje root hosta in ne user v containerju, kar je ravno nasprotje tega kar sem hotel doseči itd. Mogoče se nisem dosti poglobil ampak zame preveč enih konfuznih konceptov in interakcij s hostom. Pri VM je stvar jasna. Penalty VMjev sem poskušal delno omiliti s tem, da so virtualke paravirtualizirane, torej ni potrebne popolne virtualizacije hw.

Kar se tiče varnosti mislim da bomo naredili par korakov naprej s tem, da uvedemo SSL in ugasnemo plain text protokole kot je FTP. Iz tega stališča se mi zdi skrivanje SSH dostopa (portov) pretirano. SSH je mature protokol, admini si lahko varnost dostopa elevirajo s ključi namesto gesli, do userweb serverja pa bodo uporabniki itak rabili SFTP, da bodo lahko gor dali svoje fajle, tako da mora biti port javen. Popravite me, če se motim.

Kar se tiče IPV6 nisem kategorično proti, ampak se bojim lukenj, ki bodo zaradi tega potencialno nastale, veliko bolj kot javno dostopnimi SSH porti. Večina uporabnikov in top sajtov še vedno ni dostopna preko ipv6 in je njegova dodana vrednost omejena. Vsake pol leta probam ipv6 only dostop in sem vedno znova razočaran, stanje pa orisujejo tudi podatki na https://whynoipv6.com (disclaimer: nisem preverjal če zares držijo).

LpM

Drži. Mogoče nisem bil dovolj jasen; z "administratorjem" mislim človek, ki dobi root dostop do virtualke in tam počne kar mu paše. Ima vse pravice in vso odgovornost, da virtualka izvaja servis, ki mu je namenjena. Če želite poganjat docker v svoji virtualki, be my guest (pun intended), jaz ga pa v xen hostu res nebi.

LpM

Se javim za katero koli virtualko ali pa vse.

_________________
73, Luka

Hvala Luka!