Malo ozadja...
Največji problem, ki sem ga zaznal pri administraciji leje je bil, da je celoto (mail server, web server, ftp, forum, security, backup, wiki, webmail, komunikacija z uporabniki itd. itd) vzdrževala ena oz. največ dve osebi. Ko je ta oseba odšla, je bilo zamenjavo težko najti iz dveh razlogov; prvič, ker bi nov administrator moral posedovati vsa ta znanja in drugič, ker bi morali novi osebi popolnoma zaupati, ker ji efektivno dajemo keys to the mansion...
Moja prioriteta pri postavljanju novega serverja je tako bila, da lahko vzdrževanje razdelimo na čimveč ljudi, ki pa so medsebojno strogo ločeni, t.j. da si ne hodijo v zelje in eden drugemu ne morejo vplivat na varnost. Če eden od administratorjev odide, lahko (upam) bolj enostavno najdemo zamenjavo, ker sta omenjena problema manjša.
Docker je prva stvar, ki sem jo probal in hitro ugotovil da zame ni primerna. Docker service teče kot root, root v containerju je root v hostu, container efektivno vzdržuje root hosta in ne user v containerju, kar je ravno nasprotje tega kar sem hotel doseči itd. Mogoče se nisem dosti poglobil ampak zame preveč enih konfuznih konceptov in interakcij s hostom. Pri VM je stvar jasna. Penalty VMjev sem poskušal delno omiliti s tem, da so virtualke paravirtualizirane, torej ni potrebne popolne virtualizacije hw.
Kar se tiče varnosti mislim da bomo naredili par korakov naprej s tem, da uvedemo SSL in ugasnemo plain text protokole kot je FTP. Iz tega stališča se mi zdi skrivanje SSH dostopa (portov) pretirano. SSH je mature protokol, admini si lahko varnost dostopa elevirajo s ključi namesto gesli, do userweb serverja pa bodo uporabniki itak rabili SFTP, da bodo lahko gor dali svoje fajle, tako da mora biti port javen. Popravite me, če se motim.
Kar se tiče IPV6 nisem kategorično proti, ampak se bojim lukenj, ki bodo zaradi tega potencialno nastale, veliko bolj kot javno dostopnimi SSH porti. Večina uporabnikov in top sajtov še vedno ni dostopna preko ipv6 in je njegova dodana vrednost omejena. Vsake pol leta probam ipv6 only dostop in sem vedno znova razočaran, stanje pa orisujejo tudi podatki na
https://whynoipv6.com (disclaimer: nisem preverjal če zares držijo).
LpM