[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
2018-05-25 11:54 GMT+03:00 Gökhan Karakaş < gokhankara...@linux.erciyes.edu.tr>: > Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde > yazamadığınız için net bir şey söyleyemiyorum. > > O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp, > azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size > ait olan sanal bir network blogu oluşturmuş oluyorsunuz. > AWS VPC de yaptigi gibi networking olusturabilsem benim icin yeterli. Daha sonrasında sunucular arasında içeride ekstra bir katman olarak > güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle > konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin > ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor. > (networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik > istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz > ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer > kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik > sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a > göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security > Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye > yazılıyor. > Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka > sunucuda erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı > bir blokta tutmayı düşünebilirsiniz. > > DB encryption vs yapmama gerek yok. Diger servislerim DB servisine baglandiginda aradaki trafigi dinleselerde fazla sikinti olmaz ama DB'ye baglanamasinlar yeter :) > Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük > cloud providerların tamamı loging ve monitoring konularında son derece > kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da > daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios, > zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler > yazmanız gerekiyor. > > Servislerimi monitor etmek icin Promethous + Grafana kullanmayi planliyorum. Logging icin ise Graylog kullanmayi planliyorum. Server perf monitoring icinde nagios veya zabbix kullanabilirim ama suanlik okadar onemli degil. Tesekkur ederim. ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
2018-05-25 8:41 GMT+03:00 Eray Aslan : > On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi > yetkilendirmek mumkun. > - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay > network secerseniz mumkun (kullanmadim) > > Trafigi yetkilendirerek podlarin birbirine erisimi kisitliyoruz galida ama benim servislerimin birbirini gormesinde bir sakinca yok. Benim amacim dis dunya ile aralarindaki bagi kisitlamak. > Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya > AWS'yi deneyin. Hayatiniz kolaylasir. > GCE kullanmadim ama azda olsa AWS kullandim. Networking ile fazla zaman kaybetmeden makinalari birbirine baglayabiliyorsun cok hosuma gitti lakin bana gore suanlik biraz pahali bir cozum. O yuzden kendim halletmeye calisacagim. Tesekkur ederim ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
Merhabalar, Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web sunucusu, 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu containerları farklı makinalara ayırmak istiyorum. 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring yapmak istiyorum. Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu sunucuları birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. Ben şunu yapmak istiyorum: Bu sunucuların tamamını VPN ile birbirine bağlayay, müşteriler web sitesine erişebilsinler diye sadece web sunucusuna dış IP ataması yapayım. DB sunucusunda izin verilen IP bloğu olarak VPN'e atadığım IP bloğunu vereyim bu sayede datacenterdaki diğer makinalardan bağlanılamasın ama web ve monitoring sunucularım bağlanabilsin. Monitoring sunucuma da sadece bu VPN ağından bağlanılabilsin. Kendi evimden(dinamik IP) ve iş yerimden(sabit IP) monitoring sunucusuna bağlanıp web arayüzünden diğer sunucularımı izleyebileyim. - Bu yapıyı nasıl kurabilirim? - Nekadar güvenli, nelere dikkat etmeliyim? - Sadece web sunucusuna dış IP atamasını yapmam yeterli olur mu? - tinc mi yoksa openvpn mi kullanayım veye hangi araçları önerirsiniz? (daha önce hiç VPN kurulumu yapmadım ama yapabilirim) - Kubernetes işimi bu noktada kolaylaştırır mı? (kubernetes hakkında fazla bilgim yok ama araştırıp öğrenebilirim) [1] AWS kullanabilirdim, VPC ile bu ağ yapisini kolay bir sekilde kurabilirdim fakat AWS pahali geliyor o yuzden Scaleway'den kiraliyorum ama onda da AWS'deki gibi gelismis networking alt yapisi sunmuyor. Bu yüzden kendim halletmeye çalışacağım. Bu konuda her türlü fikir ve önerilerinizi bekliyorum. Yardımlarınız için şimdiden teşekkür ederim :) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Server Önerileriniz
Merhaba Server management linux ile tanıştığımdan beri hep ilgi duyduğum bir alan oldu ve 2003 lü yıllardan kalma bir laptapa minimal slackware kurup web server yaptım.Hala kullanıyorum ama malum donanım özellikleri çok düşük olduğundan okadar işe yaramıyor.Şimdi ise hem kendimi bu alanda geliştirmek hemde isteyen linux kullanıcılarına bedava kullanabilecekleri bir server yapmak istiyorum ve bunun için bir server almayı planlıyorum ( 1000-3000 arası olursa iyi olur ) . Sizlerden de bu konuda önerilerinizi bekliyorum. Amacım öğrenmek olduğu için serverda tam olarak şunu koşturacağım diye birşey diyemiyorum fakat aklımda şu seçenek var. 1. Serverı VPS yapabilirim. (Xen vb ile) (70%) 2. Serverda Mysql,Postgresql,PHP,Apache,Nginx,FTP server vb kosturabilirim(30%) Birde ben serverda 16GB RAM,4 RAM yuvası olacağına 4 GB RAM, 10 RAM yuvası olsun diyenlerdenim. Birde server alırken nelere dikkat etmeliyim.Bu konularda bana yardımcı olursanız sevinirim. Teşekkür ederim. Not:Geçen gün aynı başlık altında mailliste bir mail attım fakat maillist e üye olurken mailleri toplu olarak almayı seçmişim. Onun için maillere cevap yazamadım(Kime cevap yazdığım belli olmuyordu).Şimdi konuyu daha detaylı şekilde tekrardan açıyorum. ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: Linux-sunucu Toplu Mesajı, Sayı 90, Konu 30
*Ahmet* bey Serverı çok güzel ama biraz pahalıymıs .Bana 1000-2000 TL arası birşey lazım :) > IBM x3550 M3 > > ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Server Önerileriniz
Server management linux ile tanıştığımdan beri hep ilgi duyduğum bir alan oldu ve 2003 lü yıllardan kalma bir laptapa minimal slackware kurup web server yaptım.Hala kullanıyorum ama malum donanım özellikleri çok düşük olduğundan okadar işe yaramıyor.Şimdi ise hem kendimi bu alanda geliştirmek hemde isteyen linux kullanıcılarına bedava kullanabilecekleri bir server yapmak istiyorum ve bunun için bir server almayı planlıyorum ( Biraz ucuzundan ) . Sizlerden de bu konuda önerilerinizi bekliyorum. Şimdiden teşekkürler. ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu