Administração de VPS para iniciantes absolutos

Eu tenho um novo site que quero criar, algo que eu, como programador, desejava existir. Embora esse site nunca tenha atingido os níveis de sucesso do StackOverflow, espero que ele tenha um apelo amplo e se torne decentemente bem-sucedido - de qualquer maneira, sou otimista.

Vou começar com um host compartilhado, possivelmente mantendo a empresa que hospeda o meu blog, já que os conheço bem, mas não acho que a hospedagem compartilhada seja uma boa solução a longo prazo.

Como tal, eu tenho verificado vários provedores de VPS, principalmente Slicehost e Linode até agora, quanto ao seu potencial como um provedor de "próximo estágio". O problema é que sinto que estaria completamente fora do meu elemento com um VPS. Só tenho experiência limitada com o Linux (tentei algumas vezes no meu laptop, mas sempre tive problemas que me fizeram desistir - geralmente problemas sem fio) e, embora tenha certeza de que poderia entender o básico configuração, receio deixar as coisas terrivelmente inseguras ou simplesmente não conseguir lidar com problemas de manutenção.

Obviamente, minha ideia pode fracassar completamente, mas eu prefiro não ser pego com as calças abaixadas se chegar ao estágio em que um VPS se torna uma necessidade.

Portanto, existem bons tutoriais / (e-) livros / artigos que descrevem como conhecer seu VPS ou quaisquer outros problemas com os quais eu deva me preocupar. O site provavelmente seria uma pilha LAMP "clássica", embora eu possa decidir trocar as coisas mais tarde, conforme a necessidade (ou o desejo, realmente).

Minha prioridade absoluta é segurança , portanto, este post. Tenho muito pouca dúvida, dados os recursos on-line - principalmente as seções de tutoriais Slicehost e Linodes - que eu poderia criar uma solução viável, mas preciso saber que não estou deixando vulnerabilidades críticas em aberto ao fazer isso.

Um grama de prevenção, etc.

Obrigado!

Editar:

Também fiz essa pergunta no Hacker News e no Reddit nos últimos dias, então talvez os links para essas discussões possam ser úteis:

• Hacker News
• Reddit

Se suas habilidades de administrador de sistemas Unix são ... bem, zero , meu conselho é: não faça isso! Não tente hackear uma configuração de servidor segura com alguns tutoriais e guias para iniciantes.

Razões:

1. Você não terá sucesso. A rede está repleta de turorials com conteúdo ruim ou factualmente errado. Você não saberá quais ameaças são prováveis ​​para sua instalação e quais não são, e fará julgamentos ruins sobre quais medidas de segurança implementar. O resultado final não será um servidor seguro.
2. Não é um uso eficiente do seu tempo. Gaste seu tempo com seus principais diferenciais, que é sua compreensão da necessidade do mercado e de suas habilidades de programação.

Você pode encontrar soluções gerenciadas com muita facilidade. Ou:

1. Acesse os fóruns do Webhostingtalk.com , leia as opiniões dos provedores gerenciados de VPS e escolha uma boa (ServInt, Wiredtree e outros). O provedor de serviços lida com as correções básicas do SO, etc., você é responsável por seu próprio aplicativo.

   OU

2. Configure um VPS não gerenciado com um bom provedor (Linode) e contrate uma das muitas empresas do tipo "sysadmin terceirizado" para protegê-lo e administrá-lo. Novamente, você pode fazer compras de comparação para o provedor "sysadmin terceirizado" no Webhostingtalk.

Embora os wikis do Slicehost / Linode sejam um ótimo recurso, vale a pena notar que, quando se trata de "proteger" um VPS, nem todos os VPS são criados iguais.

Tanto o Slicehost quanto o Linode oferecem VPSs baseados em Xen exclusivamente e isso tem algumas implicações quando se trata de segurança. Por exemplo:

1. Uma recomendação típica para proteger o diretório / tmp é montá-lo em uma partição separada e marcá-lo como "noexec, nosuid". O guia pode sugerir o uso do comando "mount -o loop, noexec, nosuid". Se você estiver executando um OpenVZ VPS, esse comando falhará - mesmo como root, você não possui direitos adequados no dispositivo de loopback.
2. Se você deseja instalar um firewall baseado em iptables no seu VPS, um OpenVZ VPS exigiria que seu provedor fizesse algumas alterações no nível "Nó do host". Isso ocorre porque em um OpenVZ VPS você compartilha o kernel com outras instâncias.
3. É sempre bom manter seu VPS atualizado com os patches mais recentes. Exceto se você estiver executando um CentOS VPS no OpenVZ, uma "atualização yum" cega resultará em um VPS quebrado. O kernel, dev e outras atualizações desse tipo estão disponíveis neste ambiente.

Eu acho que o que estou tentando ressaltar é que realmente não existe um guia ou livro "verdadeiro" para garantir um VPS. Depende do ambiente específico e do sistema operacional em que você está executando, além de qual nível de paranóia é suficiente para você. No final, confio em um conjunto de notas de compilação do servidor e arquivos de configuração que criei por tentativa e erro e mantenho em um repositório git privado - dessa forma, abrir um novo servidor requer muita cópia e colagem.

Para referência geral, a seção "Segurança" do HowToForge e este artigo com algumas dicas relativamente obscuras de "segurança através da obscuridade" podem ser úteis.

Também estou pensando em obter um VPS. Olhando para Gandi e está parecendo muito bom.

Vi no seu tópico do HackerNews que alguém falou sobre o Ubuntu Server Book. Ainda não li, mas encontrei o Guia do Servidor Ubuntu . Há um capítulo sobre segurança, mas apenas leia parte dele, portanto, não sei se é bom. Mas viram que eles abordam como obter atualizações de segurança automáticas. Pense que poderia ser uma ótima fonte.

Atualmente, muitos VPSs vêm com um painel de controle (cpanel, plesk etc.), embora alguns tenham custos de licenciamento por mês. Com esse painel de controle, você pode administrar e automatizar seu servidor com facilidade.

Eu também recomendaria executar o sistema operacional em que você estiver procurando em casa. Você pode instalar o linux em sua unidade ou usar algo como o VirtualBox para instalá-lo em uma máquina virtual. Isso significa que você pode ter o Linux rodando dentro de uma janela do seu PC e não precisa fazer alterações possivelmente prejudiciais ao seu sistema. O benefício disso é que sua rede seria configurada no Windows e você não precisaria configurar o wifi na máquina virtual linux. Isso é exatamente o que sua instância do VPS também será.

A administração não é fácil, mas a única maneira real de aprender é mergulhar de cabeça. Provavelmente, existem muitos bons livros, além de uma grande quantidade de ajuda online. Eu entraria e veria onde você acaba.