[inne][PHP] w ktorym isc kierunku?, bezpieczenstwo i konfiguracja serwera Opcje

[soska66]

W sumie to nie wiem czy ten temat powinien sie znalezc w dziale Przedszkole czy nie, ale zapewnie wielu z was wlasnie tak go potraktuje.

Programuje w PHP od kilku lat i pracuje w formie trudzacej sie wlasnie tworzeniem stron w php. Wszystkie strony do tej pory utrzymywalismy albo na shared-hostingach albo na "prekonfigurowanych" VPSach, co oznacza, ze pomimo kilku lat pracy w branzy, jestem cieniutki w temacie bezpieczenstwa serwera oraz kilku drobniejszych kwestii pobocznych, nie zwiazanych bezposrednio z samym klepaniem kodu

No wiec przerzucilismy sie na 'chumre' ostatnio i zamierzamy hostowac strony na tworzonych 'wlasnorecznie' vps'ach, co z grubsza oznacza, ze kofiguracja serwera nalezy do mnie. Mozemy oczywiscie zaplacic dodatkowa kase firmie hostingowej za setup, ale nie widze sensu placic im (no i czekac) za kazdym razem gdy takiego VPS'a potrzebujemy

Kilka pytan w zwiazku z tym.. oczywiscie nie pytam o pewniki, bo co czlowiek to obyczaj, opinia czy przyzwyczajenie. Bardziej chcialbym zobaczyc jakie macie ogolnie preferencje. Zaznacze, ze strony jakie tworzymy to w wiekszosci e-commerce

1) Stworzyc jednego, wiekszego VPSa i hostowac kilka stron/systemow na jednym? Czy pojsc w strone tworzenia osobnych VPSow dla kazdej strony, z parametrami zaleznymi od przewidywanego ruchu itp

2) Instalowac WHM (np cpanel, choc wiem, ze ten ogranicza mnie do uzycia centosa zamiast debiana, ktorego osobiscie wole) czy raczej konfigurowac LAMP i caly serwer wlasnorecznie w shell'u

3) Zagadnienie najwazniejsze - bezpieczenstwo. O ile znam tajniki bezpieczenstwa na poziomie kodu php to gorzej z bezpieczenstwem na poziomie serwera, zarowno dotyczacego samego dostepu do serwera jak i jezyka programowania. Jaki soft i metody sa absolutnym minimum do zabezpieczenia serwera? Wiem np o zmianie portu ssh, permit root login, wylaczeniu nieuzywanych procesow, dostep do phpmyadmin wylacznie lokalnie ale wnioskuje, ze to o wiele za malo. A czego by mi google nie znalazl to znajduje rozne, czasem sprzeczne informacje

4) Czy instalacja WHM pokrywa wiekszosc zagadnien bezpieczenstwa i czy wlasnie dzieki temu powinienem pojsc w tym kierunku


Tak naprawde to nie mam pojecia jak to jest z wiedza o bezpieczenstwie wsrod developerow PHP - czy wy z reguly zabezpieczacie serwer i generalnie zajmujecie sie hostingiem sami czy raczej oddajecie to w rece innych, np firmy hostingowej

Z gory dzieki za chec do odpowiedzi oraz, mam nadzieje, ciut dluzszej polemiki

[modern-web]

Nigdy nie angażowałem się w tego typu przedsięwzięcia ale mogę powiedzieć jedno...
Serwer nigdy nie będzie w 100% bezpieczny; zawsze znajdzie się większa/mniejsza luka, która umożliwi napastnikowi dostęp do określonego segmentu/usługi.
Z początku będzie podobnie; luki bezpieczeństwa znajdą się same `metodą prób i błędów` więc z początku na pewno będzie sporo roboty.

Osobiście wolałbym powierzyć komuś hosting - wyspecjalizowanej firmie - niż samemu marnować czas na konfigurację z góry przegranego serwera.

Pozdrawiam.

[soska66]

Dzieki modern-web
Szczerze mowiac to ja nawet nie wiem jakie sa... hmm... standardy. W sensie, czy zabezpieczanie serwera to cos co powinienem miec rozklepane w najmniejszych szczegolach jako programista. Moze sie za bardzo przejmuje i powinienem to powierzyc specjalistom nie przejmujac sie, ze tematyka znam slabo?

Wciaz chcialbym poznac zdanie kilku innych osob