如何成为服务器管理员并管理Linode/SliceHost/Webbynode上的安全性？

Question

我正在考虑将Rails应用程序从共享托管提供商转移到专用服务器或诸如Linode、SliceHost、Webbynode等服务，如果我正确理解，服务器的安全性完全取决于您。

对于共享托管，我习惯于没有根访问，因此防火墙和大多数其他安全问题往往由托管公司来处理。

因此，我关心的是转移到一个服务器，在那里我(一个服务器管理新手)负责安全。我希望有一个专家服务器管理员来处理这个问题，但是这是不可能的。

有谁知道像SliceHost或Webbynode这样的负担得起的服务，其中安全性是由提供者管理的？我已经看过Heroku了，但是由于SSL的完整证书要求，我现在买不起它。

或者，是否有人知道是否有服务器映像可用于处理或简化安全的Linode/SliceHost/Webbynode/其他地方？

(我想我最关心的是我是一个web应用开发人员，他认为自己最终会花费更多的时间来保护服务器，而不是编写代码。也许我什么也不担心。)

Answer 1

需要有人来处理这些事情。要么你去做，要么付钱给别人去做。到目前为止，您一直在支付托管公司的费用(通过共享托管计划的费用)。不过，这不仅仅是你需要考虑的安全问题；一个好的系统管理员会为你做很多事情，从监控、安装和配置新软件，到解决各种问题，以及主动响应停机。

不知道什么是“负担得起”对你来说，我不能给出任何具体的建议，托管公司谁包括管理在他们的产品。有几个人提供了全面的管理，还有更多的人声称要这样做，但他们却不这么做。(我写了一份清单，作为关于选择托管公司的更大答案的一部分，问一家托管公司什么，这样做对从说唱者中剔除实干家应该是有用的)。我工作的公司做得很好(我觉得它做得很好)，但是如果Heroku不在你的预算中，我怀疑我们也是。

至于找到一个“安全变得更简单”的VM映像，它根本不存在(除了在最简单的情况下，您使用的映像不启动-这些映像往往相当安全)。计算机安全不像一个插入式的破坏者，它是一个持续的过程，分析你不断变化的需求，做出必要的配置调整，有时说“不，你不能那样做，你会被攻击”，并想出一些解决你的问题的其他解决方案。没有一个VM映像能够为你做到这一点；一个拥有大脑和工作手指的人需要在一个持续的基础上处理它。

Answer 2

最需要担心的两个方面是SSH安全和防火墙。我建议您禁用根登录，创建第二个用户，使用sudo并使用公钥身份验证。脚本孩子尝试和蛮力登录是很常见的。Fail2ban将在这方面提供帮助(检测蛮力和添加防火墙规则以禁止IPs)。

对于防火墙，您可以使用一个非常容易配置的iptables前端，称为火霍尔。Firehol允许您编写规则，如：

interface eth0
   server http accept

不管它的价值是什么，你需要变得偏执。只允许必需的东西(例如，您可能只需要端口80、443和22)。不要忘记应用程序级的安全性。