希望你能帮助!
我正在考虑将Rails应用程序从共享托pipe提供程序移动到专用服务器或像Linode,SliceHost,Webbynode等服务,如果我理解正确,服务器的安全性完全取决于您。
与共享托pipe我习惯于没有 root访问权限,所以防火墙和大多数其他安全问题往往由托pipe公司处理。
所以我的担心是移动到服务器,我(服务器pipe理员菜鸟)正在照顾安全。 我很想有一个专家服务器pipe理员照顾,但是这是不可能的。
有人知道像SliceHost或Webbynode这样的负担得起的服务,其中安全是由提供商pipe理的吗? 我已经看过Heroku,但是由于SSL完整的authentication要求,目前对我来说是不可接受的。
另外,是否有人知道如果服务器映像可用于Linode / SliceHost / Webbynode /其他安全性照顾或更简单?
(我想我主要担心的是我是一个Web应用程序开发人员,他认为他最终会花费更多的时间来保护服务器,而不是编码。
谢谢你的时间,艾略特
有人需要照顾这些事情。 要么你这样做,要么付钱去做。 到目前为止,您一直在支付托pipe公司的费用(通过共享托pipe计划的费用)。 不过这不仅仅是你需要考虑的安全问题。 一个好的系统pipe理员将会为您做一系列的事情,从监视,安装和configuration新软件,解决所有问题的方法,并积极应对中断。
如果不知道“实惠”的含义是什么,那么对于在其产品中包含pipe理的托pipe公司,我无法给出具体的build议。 有几个人提供全面的pipe理,而且有更多的人声称,但是没有。 (我写了一个清单,要求托pipe公司作为select托pipe公司的一个较大的答案的一部分, 该托pipe公司应该是有用的,从淘汰干事中脱颖而出)。 我为之工作的公司做得很好(我觉得这样做很好),但是如果Heroku不在你的预算之内,我怀疑我们是不是。
至于find一个“安全性更简单”的虚拟机镜像,这个镜像根本就不存在(除了最简单的情况下,你使用的镜像不能启动 – 这些镜像往往是相当安全的)。 计算机安全并不像螺栓式的破坏者,它是一个持续不断的过程,分析你不断变化的需求,进行必要的configuration调整,有时会说“不,你不能这样做,你会得到诀窍”和工作解决您的问题。 没有虚拟机映像可以为你做; 有大脑和工作手指的人需要在持续的基础上照顾它。
需要担心的两个最重要的方面是SSH安全性和防火墙。 我build议您禁用rootlogin,创build第二个用户,使用sudo并使用公钥authentication。 脚本小子尝试和暴力login是很常见的。 Fail2ban将有助于(检测蛮力,并添加防火墙规则禁止IP)
对于防火墙,您可以使用一个非常简单的configuration名为Firehol的 iptables的前端 。 Firehol让你写规则,如:
interface eth0 server http accept 为了什么是值得的,你需要偏执狂。 只允许有必要的(例如,您可能只需要端口80,443和22)。不要忘记应用程序级别的安全性。