Пофилософствуем на тему неубиваемости и антиабузности

Discussion in 'Хостинги - Hostings' started by Zeeman, 5 Jan 2016.

  1. Zeeman

    Zeeman New Member

    Joined:
    21 Apr 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Добрый день. Меня зовут Zeeman и я - алкоголик.
    Пользовался виртуальными серверами нескольких фирм под не очень белый проект.
    Раз заблокировали без предупреждения, с трудом выбил бекап. Второй раз переехал нормально. Но, скажем так, это надоело а тратиться на антиабузный хостинг пока не хочется.

    Давайте поговорим на тему создания неубиваемого или легко возрождаемого сайта с минимальными финансовыми затратами. Пусть это будет сайт, который немножко интересует спецслужбы одной из стран. Не так сильно чтобы подымать всех по тревоге, но достаточно чтобы у них было желание его закрыть. Ну или если он надоест крупной фирме с волосатыми лапами, которая подключит к этому делу полицию.
    Я в администрировании серверов уже освоился, но как оно работает дальше моего VPS представляю с трудом. Пока поделюсь своими мыслями, надеюсь на полезные идеи от жителей Античата.

    Предположим, что критически важная информация находится в базе данных, например, MySQL, а сам сайт меняется редко и легко восстанавливается из бекапов.
    Хороший вариант, который приходит в голову - использование 2 VPS серверов.
    Первый будет содержать базу данных, второй - сайт.
    Снаружи будет виден только адрес VPS №2, абуза прилетит на него, его блокируют без возможности реактивации, после чего я подымаю второй такой же и разворачиваю сайт из бекапа за вчера, лежавшего на стороннем FTP / DropBox / где-нибудь еще. Естественно, запароленный архив или зашифрованный контейнер.

    Вариант номер 2 еще проще:
    Сайт (apache2) и база данных (mysql) стоят на одном сервере, а кеширующий и проксирующий nginx - на другом. История такая же, бан, поднятие такого же точно VPS только с восстановлением конфига nginx. Минус - если с сервера отправляется почта, то исходящий адрес бекенда будет засвечен. Кто-нибудь представляет как оформить отправку всей почты с сервера А через сервер Б (я имею в виду через php mail())?

    Вариант 3 - если таких nginx сразу несколько, только IP адреса выдаются не все сразу (несколько А записей), а по очереди. Кто-то определил адрес, накатал абузу, его локнули, а 2 других остались работать. Как-то так.

    Теперь другой момент.
    Если "товарищи" добрались физически до физического сервера, на котором располагался VPS с размещенным nginx, что они могут оттуда получить? Защищает ли мой root пароль VPS от доступа к списку запущенных процессов или к файловой системе контейнера VPS с физического сервера? Как сделать чтобы защищал?
    К чему спрашиваю. Если, например, база стоит на А, фронтенд на Б - то на Б должны лежать сертификаты для подключения к базе с SSL. Если достать эти сертификаты - можно будет залезть в базу, что-то там подпортить или достать оттуда ценные сведения. Этого быть не должно.

    Еще один момент - можно ли заставить nginx на сервере Б шифровать трафик, идущий от него к серверу А (apache+mysql)? Есть ли штатные методы или нужно подымать постоянное соединение OpenVPN / SSH Tunnel? Что из них лучше и стабильнее работает чтобы не приходилось каждый день заходить по SSH чтобы поднять упавшее подключение?

    Еще момент. Если это все таки SSH Tunnel, значит на сервере Б будет находиться пароль доступа к серверу А (пусть даже с правами простого юзера), а если он уйдет "товарищам" - могут быть проблемы. В случае VPN - то же самое только пароль/сертификат уходит на лево. Если обернуть соединение между ними наоборот, т.е. на А - (SSH / VPN) клиент, на Б - сервер, доступа с Б на А не будет никакого, но тогда у них будет серверный сертификат и возможность расшифровки всего трафа. Я прав?

    Или, может быть, стоит использовать не SSH Tunnel а port mapping?
    С одного сервера iptables перенаправляет все пакеты на другой. Но в этом свой минус - трафик на Б идет не зашифрованным.

    Основная идея - максимальная защищенность и минимальные телодвижения для восстановления системы.

    Вообщем, что посоветуете городить?
     
  2. Zeeman

    Zeeman New Member

    Joined:
    21 Apr 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Да ведь всем наплевать...
     
  3. TakeWYN

    TakeWYN New Member

    Joined:
    18 Dec 2015
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Ребят, вот при всем уважении - делайте бекапы. Все остальное - весьма посредственно и мало-реально. Захотят - найдут, захотят - закроют. Ищите надежных партнеров и хостеров.