Toon posts:

mirror systeempje voor webservices

Pagina: 1
Acties:

vrijdag 2 juni 2006 16:29

Acties:
  • DrClaw
  • Registratie: November 2002
  • Laatst online: 10-01 20:44

DrClaw

Topicstarter
Beste tweakers,

recentelijk heb ik eens zitten nadenken over een soort van beveiliging van de data die op mijn webserver staat, en dacht uiteindelijk aan de volgende setup:

1x een tapestreamer backup (is al aanwezig), voor de wekelijkse backup
1x de webserver zelf (ook al aanwezig)
en 1x een nieuw te bouwen mirror van de webserver data, met bepaalde restricties op toegang

het idee dat ik had was het volgende: de webserver is alleen toegankelijk vanaf ports 80 en 445, en intern vanaf een zeer beperkte range IPs. 1 van die interne adressen behoort toe aan het nieuwbouwprojectje, dat eigenlijk de bron is van de data die op de webserver staat. toegang tot deze machine kan alleen maar van buitenaf via ftp (liefst nog secure ook) .. en deze machine houdt de data op de webserver om de 15 minuten actueel. Files die op de webserver staan en niet op de mirror, worden verwijderd van de webserver, en andersom als er files niet staan die er wel moeten staan, dan worden ze er heen gekopieerd.

Dit alles dus om geslaagde hack-pogingen tot een minimum te beperken. Uiteraard draait er genoeg software op de webserver om intrusions tegen te gaan.

De tapestreamer streamt van en naar die nieuwe server, is het plan.

Ik dacht aan het volgende systeem:
4x 250gb sata DiamondMax10
1x 80gb pata Deskstar 7k80
1x ASUS A8N5X s939 gbit+raid
1x 3200+ boxed Athlon64 s939
1x H700A bigtower (lelijk jedoch groot, 400W voeding)
2x HDD wisselframes (3 hdd in 2 5.25 slots) voor de SATA schijven, 2 in elk
1x een simpele dvdrom SH-D162C
1x 1gb geheugen valueram 2 simms van 512
1x de meest simpele PCI gfx card die ik kon vinden GC-R70PCI-A3

OS zal dan linux worden, software raid5 over de SATA schijven. mijn vragen zijn:
* Is het systeem goed qua configuratie ?
* Moet ik toch voor een hardware raid5 kaart gaan (die dus 250 euro of meer kost) ?
* Het moederbord ondersteunt ook raid0+1, is dit (500gb effectief) slimmer dan softwarematig raid5 (750gb effectief) ?
* kan ik ueberhaupt de IDE en SATA schijven tegelijkertijd aansluiten (ik vermoed toch wel, want ik ken nog geen sata cdromspelers) ?

vrijdag 2 juni 2006 17:32

Acties:
  • kluyze
  • Registratie: Augustus 2004
  • Niet online

kluyze

1) raid0+1 vs raid5 (soft): volgens mij is de raid5 beter, die raid controller op het mobo zal (is al dikwijls terug gekomen op het forum) ook wel softwarematig zijn, waardoor de cpu de berekeningen doet. En raid5 is volgens mijn veel veiliger als raid0+1

Hardwarematig moet je zelf uitmaken, als jij vindt dat die 250Euro (ik weet niet wat een echte hardwarematige raid5 controller kost) het waard is moet je een hardwarematige controller kopen.

2) IDE en SATA mixe? Ja dat gaat, ik weet wel niet of je raid volumes over de 2 kan spreiden als je dat bedoelt. Heb ik nooit achter gezocht, theoretisch zou het moeten kunnen, maar of de controllers daar op voorzien zijn denk ik eigenlijk niet.

3)
drclaw schreef op vrijdag 02 juni 2006 @ 16:29:
.. en deze machine houdt de data op de webserver om de 15 minuten actueel. Files die op de webserver staan en niet op de mirror, worden verwijderd van de webserver, en andersom als er files niet staan die er wel moeten staan, dan worden ze er heen gekopieerd.

Dit alles dus om geslaagde hack-pogingen tot een minimum te beperken. Uiteraard draait er genoeg software op de webserver om intrusions tegen te gaan.
Hmmm, hoe ga je het onderscheid maken tussen en file die op je server staat die weg moet of die nog gekopieerd moet worden naar je backup server? Stel je zet een file op je server, hoe weet je server dan of die daar moet staan of dat die moet verwijderd worden? De file voldoet immers aan beide criteria.

Misschien dat het gaat, ik weet het niet. Maar ik zeg het alleen maar in geval dat je er niet aan gedacht zou hebben. Elkaar helpen nadenken over vanalles en nog wat noemt dat :Y)

zaterdag 3 juni 2006 00:51

Acties:
  • DrClaw
  • Registratie: November 2002
  • Laatst online: 10-01 20:44

DrClaw

Topicstarter
ik kan de date stamps gebruiken om de modify datum van een file te vinden. hier kan ik dan wel wat mee doen, met een scriptje.

we hebben hier een aantal Dells staan, die moeite hadden met het aanspreken van een pata schijf en een sata schijf tegelijkertijd. misschien dat het een Dell probleem was, misschien dat het ueberhaupt niet kan. Vandaar dat ik het vroeg.

pata schijven waren nooit hotswappable, maar sata schijven toch wel ? die wisselframes hebben allemaal aan/uit knoppen en een schuiflaatje dus ik hoop toch wel dat ik, bij een crash, gewoon de schijf uit kan zetten, eruit halen, nieuwe erin, en weer aanzetten.. hmm, dit zoek ik nog even op.

zaterdag 3 juni 2006 11:01

Acties:
  • kluyze
  • Registratie: Augustus 2004
  • Niet online

kluyze

idd PATA is niet hotswappable, SATA vanaf SATAII wel.

SATAII is namelijk gewoon een vernieuwde revisie van SATA, Met als bijkomende features de verhoogde snelheid en het hotswappable gedeelte. (zijn er meer maar dit zijn zowat de meest bekende denk ik)

zaterdag 3 juni 2006 11:26

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

* Is het systeem goed qua configuratie ?
* Moet ik toch voor een hardware raid5 kaart gaan (die dus 250 euro of meer kost) ?
* Het moederbord ondersteunt ook raid0+1, is dit (500gb effectief) slimmer dan softwarematig raid5 (750gb effectief) ?

* kan ik ueberhaupt de IDE en SATA schijven tegelijkertijd aansluiten (ik vermoed toch wel, want ik ken nog geen sata cdromspelers) ?
Hmm.. Ik ben zelf niet zo'n zelfbouwfan (meer), weet niet wat je budget is, ik zou voor een simpele dell gaan, bijvoorbeeld een poweredge 830 sata.. Maar goed, dat ligt ook aan de mate van professionalisering, en wat het je kost als je servertje eruit ligt :) Is het een thuis-hobby-servertje, of een kritiek onderdeel van je bedrijfsvoering? Dat scheelt nogal.

Koop zelf alleen dual xeon dozen, maar in dit geval zou een poweredge 830 volstaan: Pentium D 2.8GHz (overkill, maar is toch gratis upgrade), 2x512MB single rank DDR2, CERC HW RAID5 controller, 4x250GB 7200RPM SATA, FDD en DVD, en een DRAC kaart (remote management, kun je van buiten ook op je fysieke desktop kijken, cd'tjes erin stoppen, etc. Kun je dus ook zonder problemen remote installatie doen van een OS, kernels installeren, in de bios, etc.. En je krijgt mailtjes als er een disk of een fannetje stuk gaat ofzo). Inclusief 3 jaar bronze support (monteur komt uiterlijk dag erna om het probleem op te lossen) Kost je 1836 euro excl. in totaal..

Voor 2163 euro excl. heb je nu trouwens een 1800SATA met dezelfde configuratie, alleen dual Xeon 3.0GHz, tijdelijk aanbiedinkje..

Qua replicatie zou je 'gewoon' rsync kunnen gebruiken om je data te synchen van je 'mirror-server' naar je webserver.

[ Voor 6% gewijzigd door axis op 03-06-2006 11:30 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

zaterdag 3 juni 2006 11:38

Acties:
  • bakkerl
  • Registratie: Augustus 2001
  • Laatst online: 20-01 20:59

bakkerl

Let there be light.

drclaw schreef op vrijdag 02 juni 2006 @ 16:29:
Beste tweakers,

recentelijk heb ik eens zitten nadenken over een soort van beveiliging van de data die op mijn webserver staat, en dacht uiteindelijk aan de volgende setup:

1x een tapestreamer backup (is al aanwezig), voor de wekelijkse backup
1x de webserver zelf (ook al aanwezig)
en 1x een nieuw te bouwen mirror van de webserver data, met bepaalde restricties op toegang

het idee dat ik had was het volgende: de webserver is alleen toegankelijk vanaf ports 80 en 445, en intern vanaf een zeer beperkte range IPs. 1 van die interne adressen behoort toe aan het nieuwbouwprojectje, dat eigenlijk de bron is van de data die op de webserver staat. toegang tot deze machine kan alleen maar van buitenaf via ftp (liefst nog secure ook) .. en deze machine houdt de data op de webserver om de 15 minuten actueel. Files die op de webserver staan en niet op de mirror, worden verwijderd van de webserver, en andersom als er files niet staan die er wel moeten staan, dan worden ze er heen gekopieerd.

Dit alles dus om geslaagde hack-pogingen tot een minimum te beperken. Uiteraard draait er genoeg software op de webserver om intrusions tegen te gaan.
Echter zijn er steeds meer hackpogingen om binnen te komen. Eenmaal binnen gaat niet om het aanpassen van jou website, maar het ongemerkt gebruik maken van jou systeem. Dit om bijvoorbeeld spams te versturen.

Je moet dus niet alleen maar kijken naar de data die op je publieke systeem staat, maar uberhaupt welke processen (als deze niet met een root-kit verborgen zijn) en dat soort dingen. En als een process draaid heeft deze (als die goed is) geen bestanden op het file systeem meer nodig om zijn werk te doen (al zal zo'n process niet meer starten bij een reboot dan).

Afhankelijk van het uiteindelijk doet wat je wil bereiken zou ik het anders aanpakken.
- Als je doel is om webdata te beschermen zou je ook kunen kijken naar je webdata te mounten via NFS (of andere mogelijkheid) welke als READONLY gemount wordt. Dan kunen ze de webdata ook niet aanpassen.
- Heb je een ander doel zou ik het anders aanpakken.


PS ik hoop dat het poort 443 ipv 445 voor de SSL is :)

dinsdag 6 juni 2006 15:43

Acties:
  • DrClaw
  • Registratie: November 2002
  • Laatst online: 10-01 20:44

DrClaw

Topicstarter
bedankt voor de nuttige tips.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq