Forum Debian Users Gang

Możesz więcej się wypowiedzieć :-) ??

Dla mnie minus, to
- osobna maszyna
- dodatkowy UPS
- więcej prądu bierze
- więcej nagrzewa otoczenie
- z oszczędności pewnie odpadnie raid w najbliższym czasie (pewnie dodam za jakiś czas)


Plus:
+ bezpieczeństwo

Ja się kiedyś spotkałem z takim zdaniem odnośnie wirtualizacji, że każdą ważniejszą usługę lepiej postawić osobno.

Maszyna jest konkretna i na zapas ale jakoś nie lubię wirtualizacji.

A i dodatkowy minus... kolejna maszyna więcej hałasu :)  no ale to nie będzie tragedii bo myślę, że na maila i dns spokojnie starczy starsza maszyna, której można zrobić tuning :)

OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?

lolek napisał(-a):

OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?

Osobna maszyna na DNS z takiego otóż powodu. Jeśli nie daj bóg ktoś by ci się dostał na maszynę poprzez jakiś bug w np. usłudze poczty i miał by dostęp do wszystkich usług na serwerze i wtedy też dostęp do DNS, a wtedy mógłby np. spreparować zapytania o stronę www i przekierować je na jakiś swój serwer ( np zapytania o stronę banku ) jednym słowem nastąpi wyciek poufnych danych. Jeśli by był bardzo złośliwy unieruchomił by całą maszynę to wtedy pada Tobie sieć plus usługi które masz na tej maszynie czyli np. www, poczta co się równa wielkie bubu i usunięcie usterki może potrwać dużo czasu, czego użytkownicy mogą nie przeboleć. Może trzeba sobie zdać sprawę co robi serwer DNS i jakie są konsekwencje braku takiego serwera dla sieci, a wtedy myślę, że odpowiedź jest prosta. Jeśli masz dużo użytkowników to naprawdę warto się zastanowić nad osobnymi serwerami dla poczty, dns, www, dhcp itd.  Warto się może zastanowić nad strefa DMZ dla właśnie serwerów z takimi usługami. Lepiej jest dmuchać na zimne.

Ostatnio edytowany przez ba10 (2009-10-14 09:39:50)

tgR napisał(-a):

djjanek napisał(-a):

4) Exploit na jedną usługę nie dalej dojścia do innych usług

ale jak zdobedzie prawa roota to zadna usluga nie jest zabezpieczona :)

Exploit najczęściej polega na przejęciu największego prawa :) i jak masz na kilku maszynach to reszta powinna być bezpieczna :)

@ba10 - nie wiem czy masz dobra czy popsuta szklana kule ;-) ale w watku nigdzie nie bylo ze ten dns jest cache dns ani ze system ten bedzie sluzyl udostepnianiu netu

ogolnie jezeli to ma byc faktycznie (jakis niezaduzy) routing to cache dns stawialbym na maszynie routujacej a na usulugi (masz jakies poza poczta?) robil osobna maszyne ... i to przedewszystkim ze wzgledu na sytuacje awaryjne czyli mozliwosc przerzucenia uslug z jednej maszyny na druga w wypadku padu ...

@ba10 ja wiem dokladnie co mozna by zrobic wbijajac na DNS-a, jednak o pad jego bardzo bym sie nie martwil bo jest wtedy zapasowy.
Jako serwer pocztowy wybraem qmiala i niby z tego co wiem nie znane sa przypadki aby udao sie komus wbic przez niego :) z reszta nie zmienie i tak na innego bo na dotychczasoej maszynie mam, dziala mi i jestem zadowolony wiec po co sie uczyc nowego.

Jedna duza maszyna to moim zdaniem bezsens... bo jak padnie lub bedzie trzeba zrobic modernizacje to wtedy wsio nie dziala, a tak konkretnie jedna usluga, ktora mozna przezucic na rezerwe.
Decyzja i tak jest juz podjeta odnosnie dzielenia lacza... beda 2 niezalezne maszyny pracujace w routingu dynamicznym, wiec jedna moze nie dzialac calkiem to druga przejmie kontrole nad podzialem lacza itd...

Chcodzilo mi tu o bezpieczenstwo w sensie... hmm jak by tu napisac... rozbic je na prawdopodobienstwa wbicia sie na nie z uwzglednieniem aplikacji krytycznych, czyli jednym sowem podstawowe zadania do wykonania to:
- podzial lacza - tu jak pisalem decyzja podjeta... beda 2 niezalezne maszyny z 2 niezaleznymi laczami (calkowicie redundantne)... generalnie routing oraz QOS + zbieranie i zapisywanie logow polaczen
- serwer RADIUS do autoryzacji klientow (mysle ze beda odpalone na obu maszynach do podzialu lacza)
- serwer DNS (drugi zapasowy serwer jest w zupelnie innej serwerowni)
- serwer WWW (strona firmowa + panel kliencki + panele do zarzadzania siecia)
- baza danych MYSQL (do obslugi paneli do zarzadzania, fakturowania oraz obslugi klientow... dosc istotna kwestia bo wszyscy klienci tu sa zebrani w jednej bazie i dane nie moga wyciec)
- serwer poczty
.... o czyms zapomnialem?

Jakbyscie to rozbili? Wiem wiem najlepiej wszytsko na osobne maszyny ale kasowo nie da rady... za malo userow w sieci aby sobie na to pozwolic... z czasem mysle ze to sie zrobi ale na dzis dzien niestety nie.


Moja propozycja:
Maszyna nr 1:
- podzial lacza
- serwer RADIUS
- serwer WWW
- baza danych MYSQL

Maszyna nr 2:
Maszyna nr 1:
- zapasowy podzial lacza  (zsynchronizowany z maszyna nr1)
- zapasowy serwer RADIUS (zsynchronizowany z maszyna nr1)
- zapasowy serwer WWW (zsynchronizowany z maszyna nr1)
- zapasowy baza danych MYSQL (zsynchronizowany z maszyna nr1)

Maszyna nr 3:
- DNS
- serwer poczty
(- moze ftp? bo czasem sie przyda cos udostepnic)

Pod wzgledem prawdopodobienstwa wbicia na jakas usluge bedzie OK? Czy proponujecie zmienic? Jesli tak to prosil bym o info dla czego tak myslicie.



P.S. Czy bind z paczki jest bezpieczny?

Ostatnio edytowany przez lolek (2009-10-15 01:19:32)

Jest ważny ale nie krytyczny bo zawsze jest secondary DNS. Gdzieś kiedyś czytałem opinie, że BIND nie jest super odporny na włamy dla tego myślałem o daniu go na osobną maszynę.