Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Compute Engine GCP – bezpieczeństwo instancji


rzepson
 Udostępnij

Rekomendowane odpowiedzi

Cześć!

 

Zamierzam postawić sobie sklep internetowy w google cloud na instancji compute engine. Do wyboru są tam różne obrazy, zamierzałem celować w ubuntu lub jakąś gotową prekonfigurowaną paczkę typu Open Lite Speed Server etc.

 

Kwestia która mnie nurtuje to bezpieczeństwo tej maszyny.

 

1. Na forach znalazłem masę informacji jak zabezpieczać serwery VPS (fail2ban, iptables, clamav, rkhunter etc.) – Ale czy Compute engine to to samo co VPS?

2. Czy faktycznie takie instancje są często atakowane? Jak porządnie się zabezpieczyć przed atakiem?

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

1. Tak

 

2. Jak wszystkie inne zasoby które mają publiczny adres IP.

Jeśli chodzi o podstawowe zabezpieczenie to sugerowałbym wstępnie uniemożliwienie logowania jako root + zmianę ustawień ssh (wymuszone logowanie nie hasłem a kluczem).

Osobiście sądzę że fail2ban jest do niczego, a iptables niekoniecznie, jeśli będzie to GCP bo tam są software'owe firewalle; co do reszty wymienionych nie znam za bardzo więc nie mam zdania

 

Ale poza tym pozwól że spytam, jeśli dobrze zrozumiałem, chcesz stawiać sklep na jednym serwerze?

Po pierwsze, jeśli tak, to raczej zmieniłbym dostawcę*, a po drugie, potencjalnie zatrudnił admina (np. na tym forum, bo AFAIK nie brak adminów do wynajęcia;) - chyba że ten sklep to do nauki ma być (osobiście bałbym się kupować cokolwiek u kogoś kto nie wie jak zabezpieczyć swój serwer)

 

*Skąd to Google? Czyżbyś miał w cholerę darmowych kredytów do przepalenia? GCP ma swoje zastosowania** , ale wydaje mi się, że na to co piszesz jest on po prostu za drogi... Poczytaj/spytaj na forum może? Nie znając absolutnie planów co do sklepu, na początek całkowicie w ciemno naganiałbym na jakiegoś skromnego Hetznera [Cloud]

 

**np. GKE czy konfiguracje o wysokiej dostępności tj. kilka serwerów w wielu lokalizacjach geograficznych za równoważnikiem obciążenia (???=load balancerem, czy to jest dobre tłumaczenie _-_"?)

Edytowane przez chivito
  • Lubię 1
Odnośnik do komentarza
Udostępnij na innych stronach

Tak, Compute Engine to VPS i jak każdy VPS, są regularnie "atakowane" przez m.in. SSH. Z reguły są to głupie boty próbujące różnych często stosowanych haseł, ale czasem zdarzają się ataki na dziury bezpieczeństwa, które nie są w porę załatane (nie każdy instaluje aktualizacje na czas).

 

Polecam wykonać następujące:

- na firewallu (w konsoli Google Cloud lub na samym VPS) otwórz wyłącznie porty, które są Ci niezbędne, a więc przychodzące 80 (tylko w celu przekierowania HTTP->HTTPS) i 443. Nie otwieraj innych portów przychodzących, chyba że potrzebujesz jakiejś usługi dostępnej publicznie (z Internetu)

- nie otwieraj portu 22 (SSH), zamiast tego łącz się do maszyny poprzez konsolę Google Cloud (jest tam SSH przez przeglądarkę), lub skonfiguruj Cloudflare Access (darmowe)

- zainstaluj i włącz pakiet unattended-upgrades, który będzie automatycznie instalował poprawki bezpieczeństwa

- jeśli chcesz pozostawić port 22 dostępny publicznie, ustaw logowanie poprzez klucze SSH i wyłącz logowanie hasłem

- ustaw backup: tradycyjny (np. restic+B2) albo bardzo prosty (np. regularne robienie snapshotów w konsoli Google Cloud).

- co jakiś czas ręcznie instaluj pozostałe aktualizacje (unattended-upgrades domyślnie tego nie robi, ale można to skonfigurować)

- instaluj aktualizacje oprogramowania/wtyczek swojego sklepu internetowego

 

Powyższe powinny zapewnić Ci spokojny sen.

Edytowane przez psz
  • Lubię 2
Odnośnik do komentarza
Udostępnij na innych stronach

Napisano (edytowane)
48 minut temu, chivito napisał:

Ale poza tym pozwól że spytam, jeśli dobrze zrozumiałem, chcesz stawiać sklep na jednym serwerze?

Po pierwsze, jeśli tak, to raczej zmieniłbym dostawcę*, a po drugie, potencjalnie zatrudnił admina (np. na tym forum, bo AFAIK nie brak adminów do wynajęcia;) - chyba że ten sklep to do nauki ma być (osobiście bałbym się kupować cokolwiek u kogoś kto nie wie jak zabezpieczyć swój serwer)

 

*Skąd to Google? Czyżbyś miał w cholerę darmowych kredytów do przepalenia? GCP ma swoje zastosowania** , ale wydaje mi się, że na to co piszesz jest on po prostu za drogi... Poczytaj/spytaj na forum może? Nie znając absolutnie planów co do sklepu, na początek całkowicie w ciemno naganiałbym na jakiegoś skromnego Hetznera [Cloud]

 

**np. GKE czy konfiguracje o wysokiej dostępności tj. kilka serwerów w wielu lokalizacjach geograficznych za równoważnikiem obciążenia (???=load balancerem, czy to jest dobre tłumaczenie _-_"?)


Sklep ma być postawiony całkowicie do nauki. Sam bałbym się ryzykować. Google oferuje 300$ na start więc nauka będzie całkowicie darmowa. Docelowo chciałbym się nauczyć administrowania serwera, później trzymaniem jakiś wersji stage na takim serwerze etc.

Mam nadzieje że dla mi się dojść do etapu w którym zacznę stawiać aplikacje w wersji produkcyjnej na takim serwerze.

 

 

42 minuty temu, psz napisał:

Polecam wykonać następujące:

- na firewallu (w konsoli Google Cloud lub na samym VPS) otwórz wyłącznie porty, które są Ci niezbędne, a więc przychodzące 80 (tylko w celu przekierowania HTTP->HTTPS) i 443. Nie otwieraj innych portów przychodzących, chyba że potrzebujesz jakiejś usługi dostępnej publicznie (z Internetu)

- nie otwieraj portu 22 (SSH), zamiast tego łącz się do maszyny poprzez konsolę Google Cloud (jest tam SSH przez przeglądarkę), lub skonfiguruj Cloudflare Access (darmowe)

- zainstaluj i włącz pakiet unattended-upgrades, który będzie automatycznie instalował poprawki bezpieczeństwa

- jeśli chcesz pozostawić port 22 dostępny publicznie, ustaw logowanie poprzez klucze SSH i wyłącz logowanie hasłem

- ustaw backup: tradycyjny (np. restic+B2) albo bardzo prosty (np. regularne robienie snapshotów w konsoli Google Cloud).

- co jakiś czas ręcznie instaluj pozostałe aktualizacje (unattended-upgrades domyślnie tego nie robi, ale można to skonfigurować)

- instaluj aktualizacje oprogramowania/wtyczek swojego sklepu internetowego

 

Dziękuje za podpowiedzi, posprawdzam sobie wszystkie te opcje 🙂

Edytowane przez rzepson
Literówka
Odnośnik do komentarza
Udostępnij na innych stronach

>Sklep ma być postawiony całkowicie do nauki.(...) Google oferuje 300$ na start więc nauka będzie całkowicie darmowa.

Powodzenia zatem! 😁

 

Pamiętaj tylko że jeśli właśnie założyłeś konto, 300 dolarów ważnych nie 12 a już tylko 3 miesiące + potem jest też mini serwerek za darmo, ale transfer wychodzący drogi - w razie czego możesz jeszcze na podobnej zasadzie (darmowy okres próbny) zwiedzić AWS, Azure i inne takie (Oracle, Digital Ocean, Vultr, ...)😃

Odnośnik do komentarza
Udostępnij na innych stronach

Godzinę temu, chivito napisał:

 możesz jeszcze na podobnej zasadzie (darmowy okres próbny) zwiedzić AWS, Azure i inne takie (Oracle, Digital Ocean, Vultr, ...)😃

Oracle oferuje na zawsze 2x darmową instancję najmniejszą. Czy któryś z powyższych też ma taką opcję? Wstępnie widziałem, że oferują pewną pulę $$ i  dostępność na 3-12 miesięcy

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.