インターネットプロジェクトサーバーの没収。 実際の経験とそれを避ける方法
この投稿では、サーバーの削除の問題に関する経験を共有したいと思います。
私たちがすること、それをどうするか、そして出会うかもしれないこと...
投稿は私の同僚によって書かれ、ルールの形で提示されました...
時々私は「海外でプロジェクトを維持し、海外でお金を持ち、海外に住む!」というスタイルで投稿を読みます。 さらに、これはすべて怖い先駆者によって書かれており、内務省の地区オペラは、ポルノを配布していた海賊のWindowsとApacheとの共犯を奪いました...
データセンターの運用における実際の経験は、他のことを言っています。 サーバーはめったに押収されず、深刻なビジネスに使用されます。
5年間で1つの試みに気付いていません。 しかし、内務省、FSB、検察官、執行官、著作権保有者からの紙の訴え-物理サーバー1000台ごとに月に12ダース。 おもしろいことに、これらのリクエストの99%には以下が含まれています。 "... .site your.ruには、YouTubeのyyyビデオへのリンクがあります。 この動画は悪いかもしれないと思ったので、YouTubeからyyy動画を削除する必要があります。 いつか専門家によるビデオと解像度のレビューを受けます」と私たちはこのサイトまたはyoutubeとは何の関係もありません(私たちとは関係なく、私たちのドメインを通しても)
繰り返しになりますが、私たちは本当にどこに、誰に向けるべきかについて書いています。 これが実際の効果をもたらさないことを理解する。 RIPEデータベースとwhoisサービスはもちろん、誰もがpingの使用方法を知っているわけではないからです。 そして問題は、誰が私たちの生命と財産に対する権利を保護するのかということです!
何よりも、内務省の地区とジュニアオペラは喜んでいます。「ここに紙があります。それに反応する必要があります。 紙片を渡してください。そうすれば、言い訳を作り上げてケースを閉じることができます。」紙片の内容が私たちとは何の関係もないという事実については、話す必要はないと思います。
少なくとも考えて理解している人はいますか? はい、それは起こります...しかし、非常にまれに、そして、原則として、「テロリズム」クラスの場合。
したがって、ロシアの良い形のルール、またはインターネットリソースのセキュリティ:
1.サーバーはオフィスにありません 。これは非常に重要です。 従業員と独立して戦う方法を知っているなら、家で。 または、e-Style Telecom( www.estt.ru )などの有名な企業の信頼できるデータセンターにサーバー(またはレンタル)を配置します。 しかし、オフィスではありません! 私たちの国の事務所は、通りのようなものであり、身分証明のための中庭です。 データセンターは、FSBの特別部門の従業員によって監督されており、これは1桁以上適切であり、秘密の通信に関する法律があります。 手順は異なり、はるかに複雑で、真実が必要な場合にのみ使用されます。
2. VPNアクセスの場合、少なくとも256ビットのキー長のAES暗号化のみを使用します。
3.すべてのプライベートデータは仮想RAMディスク上にあり、サーバーの最大メモリ周波数を使用します。オペレーティングシステムのディスクに数GBのRAMを簡単に割り当てることができます。 非対称暗号化方式。ディスクに追加し、データセンターのストレージに1時間ごとにコピーします。 2番目のキーはありませんが、妥当な時間内にディスクから情報を取得することはできません。RAMからは動作しているコンピューターでは非現実的です。 優れたデータセンターの食料がなくなることはありません。
4.フロントエンドマシン(または仮想マシン)は、サーバー側のオープンソース* nixでなければなりません。 少なくともプロキシ、VPN、接続転送を備えた仮想マシン。 「必要なものだけ」の原則に基づいてパケットフィルタリングを構成します。 IPのアクセスリストは、データセンターのネットワーク機器上で部分的に複製できます(通常は無料で、またはとんでもないお金で)。
5.最低5〜6の深さのバックアップ。必ずローカルディスクと外部ストレージに保存してください。 プライベートデータ-もちろん、安定した非対称メソッドを使用した暗号化のみ。
6.仮想マシンメカニズムにより、原則として、ほとんどのソフトウェアサービスを複製できます。 そして、優れたサーバーでのハードウェアの問題はすでにまれです(購入した最後の100台のサーバーによると、1年に1回だけ障害が発生し、母親が死亡しました...
7.サーバーを常に監視することなく実行するようにサーバーを構成する必要があります。 そして、ビジネスでのみ使用してください。 ターミナルアクセスの場合、狂ったユーザーは、サーバーを台無しにしないように個別の仮想マシンを作成できます。
8.管理アクセスのために、証明書などによる承認を使用しますが、キー/パスワードは個人の記憶ではなく、フラッシュドライブまたは紙の上にあります。 フラッシュドライブ/紙の物理的なセキュリティを確保することは、ブルペンで手錠をかけたり、モスクワ近郊のコテージの地下室で1週間ハングアップした後、パスワードを覚えていない愚かな管理者を見つけるよりもはるかに簡単です。 暗号化よりもさらに安価に人々を破壊することができます。
9.テロ、過激主義、児童ポルノに関するリンク、急流、ビデオを投稿しないでください。
10.オープンフォーラムを行っている場合は、新しい投稿がないかどうか常に監視する必要があります。 CMSカメラには人気のないモジュールを使用しないでください。
11.ビジネスを他のプロジェクトから分離します。 これが重要な情報を持つサーバーである場合、「ヒープまで」何も存在しないはずです。
実際にこのように...
私たちがすること、それをどうするか、そして出会うかもしれないこと...
投稿は私の同僚によって書かれ、ルールの形で提示されました...
時々私は「海外でプロジェクトを維持し、海外でお金を持ち、海外に住む!」というスタイルで投稿を読みます。 さらに、これはすべて怖い先駆者によって書かれており、内務省の地区オペラは、ポルノを配布していた海賊のWindowsとApacheとの共犯を奪いました...
データセンターの運用における実際の経験は、他のことを言っています。 サーバーはめったに押収されず、深刻なビジネスに使用されます。
5年間で1つの試みに気付いていません。 しかし、内務省、FSB、検察官、執行官、著作権保有者からの紙の訴え-物理サーバー1000台ごとに月に12ダース。 おもしろいことに、これらのリクエストの99%には以下が含まれています。 "... .site your.ruには、YouTubeのyyyビデオへのリンクがあります。 この動画は悪いかもしれないと思ったので、YouTubeからyyy動画を削除する必要があります。 いつか専門家によるビデオと解像度のレビューを受けます」と私たちはこのサイトまたはyoutubeとは何の関係もありません(私たちとは関係なく、私たちのドメインを通しても)
繰り返しになりますが、私たちは本当にどこに、誰に向けるべきかについて書いています。 これが実際の効果をもたらさないことを理解する。 RIPEデータベースとwhoisサービスはもちろん、誰もがpingの使用方法を知っているわけではないからです。 そして問題は、誰が私たちの生命と財産に対する権利を保護するのかということです!
何よりも、内務省の地区とジュニアオペラは喜んでいます。「ここに紙があります。それに反応する必要があります。 紙片を渡してください。そうすれば、言い訳を作り上げてケースを閉じることができます。」紙片の内容が私たちとは何の関係もないという事実については、話す必要はないと思います。
少なくとも考えて理解している人はいますか? はい、それは起こります...しかし、非常にまれに、そして、原則として、「テロリズム」クラスの場合。
したがって、ロシアの良い形のルール、またはインターネットリソースのセキュリティ:
1.サーバーはオフィスにありません 。これは非常に重要です。 従業員と独立して戦う方法を知っているなら、家で。 または、e-Style Telecom( www.estt.ru )などの有名な企業の信頼できるデータセンターにサーバー(またはレンタル)を配置します。 しかし、オフィスではありません! 私たちの国の事務所は、通りのようなものであり、身分証明のための中庭です。 データセンターは、FSBの特別部門の従業員によって監督されており、これは1桁以上適切であり、秘密の通信に関する法律があります。 手順は異なり、はるかに複雑で、真実が必要な場合にのみ使用されます。
2. VPNアクセスの場合、少なくとも256ビットのキー長のAES暗号化のみを使用します。
3.すべてのプライベートデータは仮想RAMディスク上にあり、サーバーの最大メモリ周波数を使用します。オペレーティングシステムのディスクに数GBのRAMを簡単に割り当てることができます。 非対称暗号化方式。ディスクに追加し、データセンターのストレージに1時間ごとにコピーします。 2番目のキーはありませんが、妥当な時間内にディスクから情報を取得することはできません。RAMからは動作しているコンピューターでは非現実的です。 優れたデータセンターの食料がなくなることはありません。
4.フロントエンドマシン(または仮想マシン)は、サーバー側のオープンソース* nixでなければなりません。 少なくともプロキシ、VPN、接続転送を備えた仮想マシン。 「必要なものだけ」の原則に基づいてパケットフィルタリングを構成します。 IPのアクセスリストは、データセンターのネットワーク機器上で部分的に複製できます(通常は無料で、またはとんでもないお金で)。
5.最低5〜6の深さのバックアップ。必ずローカルディスクと外部ストレージに保存してください。 プライベートデータ-もちろん、安定した非対称メソッドを使用した暗号化のみ。
6.仮想マシンメカニズムにより、原則として、ほとんどのソフトウェアサービスを複製できます。 そして、優れたサーバーでのハードウェアの問題はすでにまれです(購入した最後の100台のサーバーによると、1年に1回だけ障害が発生し、母親が死亡しました...
7.サーバーを常に監視することなく実行するようにサーバーを構成する必要があります。 そして、ビジネスでのみ使用してください。 ターミナルアクセスの場合、狂ったユーザーは、サーバーを台無しにしないように個別の仮想マシンを作成できます。
8.管理アクセスのために、証明書などによる承認を使用しますが、キー/パスワードは個人の記憶ではなく、フラッシュドライブまたは紙の上にあります。 フラッシュドライブ/紙の物理的なセキュリティを確保することは、ブルペンで手錠をかけたり、モスクワ近郊のコテージの地下室で1週間ハングアップした後、パスワードを覚えていない愚かな管理者を見つけるよりもはるかに簡単です。 暗号化よりもさらに安価に人々を破壊することができます。
9.テロ、過激主義、児童ポルノに関するリンク、急流、ビデオを投稿しないでください。
10.オープンフォーラムを行っている場合は、新しい投稿がないかどうか常に監視する必要があります。 CMSカメラには人気のないモジュールを使用しないでください。
11.ビジネスを他のプロジェクトから分離します。 これが重要な情報を持つサーバーである場合、「ヒープまで」何も存在しないはずです。
実際にこのように...
All Articles