A szerver hoszting szolgáltatásunkat választó ügyfelek számára korábban már adtunk 7 tippet a szerverek védelméhez, azt a cikket is érdemes átolvasni a Rackhost Tudásbázisban, de néhány biztonsági intézkedéshez szeretnénk még konkrétabb segítséget adni.
Alapvető biztonsági intézkedések
- Ügyfeleink szerverei általában Linux-alapúak, beépített tűzfallal, ahol érdemes csak azokat a portokat engedélyezni, amelyeket használ is a szerver kiszolgálása során (pl.: honlap esetén a weboldalak karbantartásához szükségeseket).
- A hozzáférés korlátozása is fontos védelmi eszköz, hiszen azt is lehet szabályozni, hogy egy általunk beállított számú sikertelen belépési kísérlet után korlátozzuk a szerver hozzáférését egy előre beállított időszakra (pl.: 4 órára). Ez általában az alapbeállítás része, de egyéni igényekre szabható, kifejezetten jól jön a Brute force-támadások esetén.
- Az alap tűzfal szoftvereken az is beállítható, hogy egy bizonyos időtartam alatt egy IP-címről mennyi belépési kísérlet engedélyezett – ezt szintén érdemes személyre szabni.
Mindezen felül a további programokat és biztonsági beállításokat ajánljuk:
Antivírus programok: ClamAv, Imunify360
A szerverek esetében fontos az antivírus program telepítése is, mi ehhez a ClamAV szolgáltatását ajánljuk, hiszen egy jól bevált eszközről van szó.
A levelezéseknél megvizsgálja a csatolmányokat (pl.: a csatolt képek esetében elhelyezett futtatható fájlokat), de egyéb gyanús tartalmú fájlokat is szűr.
Heti egy alkalommal mindenképp javasoljuk, hogy manuálisan is alapos vizsgálatot indítsanak a programmal.
Alternatívaként az Imunify360 szoftvere is hasonlóan alkalmas a biztonság garantálására.
SSL tanúsítvány: Let’s Encrypt
Különböző biztonsági intézkedésekhez – például az infrastruktúrát használó tagok személyazonosságának ellenőrzéséhez és a kommunikáció titkosításához – fontos SSL tanúsítványt adni a szerverhez.
Ehhez a Let’s Encrypt szoftvert javasoljuk, egy korábbi cikkünkben részletes leírást adtunk a használatához.
Amennyiben az ügyfélnek a Rackhostnál van a tárhelye és a domain neve is, díjmentesen biztosítunk SSL tanúsítványt. Abban az esetben pedig, ha a tárhelyen bekapcsolható a https protokoll, akkor a support is díjmentes az SSL tanúsítványhoz.
DDoS elleni védelem
A honlapokat egy időre elérhetetlenné tevő túlterheléses támadás, vagyis a DDoS elleni védelem is rendkívül fontos, hiszen, ha a látogatók nem érik el a weboldalt, a konkurenciához fordulnak, és a szolgáltatás ismételt kimaradása esetén a látogatók bizalmát is el lehet veszíteni.
Szoftveres megoldást ajánlunk ehhez, méghozzá a CrowdSec használatát. Ez a program több hibás bejelentkezés után felfüggeszti a bejelentkezési lehetőséget, ha pedig valaki a weboldalon hibát okoz, akkor akadályozza a hozzá tartozó IP-címet a további hozzáférésben.
A Rackhost is segít!
Természetesen a Rackhost csapata is minden tőle telhetőt megtesz, hogy a nálunk hosztingolt szerverek adatai biztonságban legyenek.
Proaktív módon, rendszeresen keresünk mintázatokat a tárhelyeken, ha pedig gyanús mintázatokat (pl.: gyanús kódok) észlelünk, jelezzük az ügyfélnek.
Aktívan monitorozzuk a szerverek forgalmát, az átlagostól indokolatlanul eltérő mintázat esetén (pl.: DDoS támadást gyanítunk a kiugróan magas forgalom mögött), akkor manuálisan avatkozunk be a tűzfal segítségével.
Ügyfeleinknek egyszerűsített felületet biztosítunk alapvető biztonsági beállításokhoz, például a naplófájlok vizsgálatához.
Adatok mentése és helyreállítása
A rendszeres, automatizált mentések kulcsfontosságúak ahhoz, hogy a szervereken tárolt adatokat megvédjük, biztonságban tudjuk.
Alapvetően nincs meghirdetve ilyen szolgáltatásunk, de egyéni megállapodás keretében adatmentést is vállalunk ügyfeleink számára. Az adatokat napi rendszerességű, több eszközön is történő mentés után minimum 30 napra megőrizzük, ráadásul földrajzilag egymástól független helyeken is (Budapesten és Szegeden), ezzel is növelve a biztonságot.
Adatok helyreállítását is lehet tőlünk kérni, hiszen az ezt végző gépekhez csak a Rackhost csapata fér hozzá. Visszaállítjuk olyan állapotra a nálunk hosztingolt szervert, amilyenre az ügyfél kéri. Ezután viszont érdemes tesztelni a mentéseket, hogy ügyfelünk biztos legyen benne, hogy az adott állapot elérésével minden a régi lesz-e a weboldalon, és a céloknak megfelelően működik-e.
Monitoring és hibaelhárítás
A szerverek működésének folyamatos figyelemmel tartása, vagyis a monitoring nem csak a Rackhost részéről oldható meg, az ügyfél is telepíthet olyan szoftvereket, amelyek erre kiválóan alkalmasak.
A legmodernebb és legsokoldalúbb ilyen program a Grafana, viszont az általánosan legnépszerűbb szoftver a terheléses grafikonok rajzolására alkalmas Munin.
Ezenfelül még az Icinga is említést érdemel, ugyanis a megfelelő beállításokkal SMS-ben és e-mailben is tud értesítést küldeni, ha valami nem működik a szerveren. Beállítható rengeteg feltétel az optimális működéshez, és ha valamelyik nem teljesül, a rendszer automatikusan értesítést küld a megadott kontaktoknak. Pluginok is beépíthetők, vagyis különböző bővítményekkel növelhető a rendszer tudása, illetve szoftverek működését is figyelemmel tudja tartani, ezekkel kapcsolatban is tud küldeni értesítéseket és riasztásokat.
Amennyiben riasztást érzékelünk a szerverek kapcsán, akkor a Rackhost csapata is utána tud járni a problémának, például kideríthető, hogy hardveres (pl.: SSD) vagy szoftveres gondról van szó, hardveres rendellenesség esetén pedig a helyszínen cserélni is tudjuk az eszközt. Szoftveres hiba (pl.: megáll egy szolgáltatás, túlterheléses támadást észlelünk, stb.) esetén elhárítjuk a problémát.
Ha az ügyfél eszközével van gond, akkor felhívjuk, de ilyen esetben is tudunk segíteni remote hand szolgáltatással, vagyis felvesszük a kapcsolatot az ügyfél informatikai szakembereivel.
A monitoring és a hibaelhárítás kapcsán három fontos és általános tippet mindig adunk:
- a monitorozást érdemes a már korábban említett szoftverek segítségével az ügyfélnek is megoldania, hiszen így az is előrejelezhető, hogy a bizonyos számú írás után “elfáradó” SSD mikor hibásodhat meg;
- a szerver hoszting fogyó eszközeiből (pl.: SSD, ventilátor, tápegység, stb.) tartsanak raktáron pótalkatrészeket;
- ha már van kipróbált és bevált adatmentési módszerük, akkor azt rendszeresen alkalmazzák.
A szerverekhez emelt szintű monitorozás is kérhető, például:
- IP cím monitorozás korlátlan portra,
- Email küldése korlátlan számban: ingyenes
- SMS küldés.
Szerverterem kialakítása
A szerver hoszting szolgáltatás esetén a szerverterem biztonságos kialakítása teljesen a Rackhost felelőssége.
Több szempontot is figyelembe veszünk, hogy tökéletes környezetet biztosítsunk a szerverek számára:
- a rezsi- és bérköltségek optimalizálása érdekében csak akkora területet hasznosítunk, amelyre valóban szükség van;
- a megfelelő légkeringéshez modern környezetet biztosítunk, minimalizálva a hideg és meleg levegő keveredését;
- állandó 22 ± 0.5 °C hőmérsékletet biztosítunk a szerverteremben;
- szervertermünk biztonsági kamerákkal felszerelt, Szegeden 24 órás portaszolgálattal ellátott, Budapesten beléptető rendszerrel is védett épületben helyezkedik el;
- tűz és villámcsapás biztos a helyszín;,
- por- és páramentes környezetet biztosítunk a szervereknek;
- a szerverek zavartalan működését szünetmentes tápellátás és a helyiség saját áramfejlesztő generátora garantálja;
- a nap 24 órájában felkereshető technikai ügyeletünk, így az esetlegesen felmerült technikai problémákat a lehető legrövidebb időn belül orvosolni tudjuk;
- a szerverekhez kiemelt rendszergazdai támogatás is igényelhető.
Teljesítmény optimalizálása
A szerverek biztonsága mellett fontos a teljesítmény optimalizálásáról is gondoskodni, hogy az erőforrásokkal minél takarékosabban bánjon a rendszer – ehhez az alábbi tanácsokat érdemes megfontolni.
Gyorsítótár: Memcached, Varnish
A gyorsítótár tipikusan az a kifejezés, amellyel minden felhasználó találkozik, ezért fontos is tudni, hogy mit takar.
Egyszerűen fogalmazva arról van szó, hogy a weboldalaknak vannak dinamikusan generált részei és vannak statikus, állandó elemei, amelyeket a szerver memóriájában lehet tárolni. Első alkalommal ezek az elemek lassan jelennek meg, utána viszont a tárolás miatt gyorsabban töltődnek be, több lépést átugorva a szerver már rögtön a tartalom megjelenítését szolgálja ki.
Ugyanakkor a felhasználóknak, tehát a weboldal látogatóinak számítógépen és mobil eszközein is vannak gyorsítótárak, így van lehetőségünk azt “kérni” a böngészőktől, hogy a honlapok egyes elemeit a látogatók gépén mentse el, ezzel tovább könnyítve a szervereink dolgát.
A webshopok esetén különösen fontos az ilyen gyorsítótárak használata!
A gyorsítótárak létrehozásához és kezeléséhez a Memcached és a Varnish szoftverét ajánljuk.
Kompresszió
Amennyiben nincs szükség a teljes állományra a megfelelő használathoz (például egy nagyméretű fotó kapcsán elég egy előnézeti kép megjelenítése, vagy sok képet akarunk megjeleníteni egy galériában), akkor a kompresszió megkönnyíti a szerverek dolgát, a felhasználónál pedig sokkal gyorsabb lesz a tartalom betöltése.
A fotók és grafikai elemek optimalizálásához elsőként egy korábbi cikkünk elolvasását ajánljuk, hiszen itt mindent leírtunk az adott célnak megfelelő képformátumok (WebP, PNG, JPEG) használatáról. A legfontosabb információ persze az, hogy a vizuális elemek kompressziójához a WebP formátum használatát ajánljuk.
A videók esetében a tömörítéssel a felhasznált sávszélességen lehet takarékoskodni, ehhez pedig azt javasoljuk, hogy a látogatók felé az AV1 vagy VP9 formátumú felvételt közvetítsük.
HTML-kódokat is lehet tömöríteni és ezzel teljesítményt optimalizálni, hiszen nemcsak az eredeti, tiszta szöveg formátumban tölthetők fel a kódok, hanem a Brotli magyar fejlesztésű, nyílt forráskódú szoftverének megfelelő beállításával tömörítve is megoldható a művelet.
CDN (Content Delivery Network)
A weboldalak dinamikus és statikus elemeinek (pl.: képek, grafikák és videók) betöltését egy másik szerverre is lehet bízni, ehhez a CDN felosztást használják.
Ez esetben az egyik szerver csak a dinamikusan változó, egy másik szerver pedig csak a statikus elemeket tárolja. A két különböző betöltési feladat tehát külön van választva egymástól, amellyel további tárhelyet és sávszélességet spórolunk.
Proxy szerver: Cloudflare
A gyorsítótárakhoz rendelt, különböző szervereken tárolt tartalmak még gyorsabb megjelenítéséhez proxy szervert szoktak bevetni. Ez a technológia tovább optimalizálja a megfelelő tartalmak elérését arra az esetre, ha az elemek több különböző szerveren érhetők el.
Lényegében a szerverek és a felhasználók “között” helyezkedik el a kiszolgáló folyamatban, a gyorsabb megjelenítés mellett pedig további előnye, hogy csökkenti a szerverek terhelését.
Ehhez profi, külső szolgáltatások igénybevételét ajánljuk, a Cloudflare ezek közül is talán a leginkább megbízható.
cPanel
A webtárhely beállításainak megfelelő kezeléséhez rendkívül népszerű a cPanel program alkalmazása, amelyhez komplett szolgáltatási csomagunk érhető el