Parere su configurazione server

[GuN_jAcK]

Ciao ragazzi vorrei un Vostro prezioso parere

Vi faccio una breve anticipazioni per capire la mia esigenza:

- Server permanentemente acceso;
- Devo avere l'X grafico per far girare un'applicazione (aihmè pure indispensabile);
- Connessione VNC per gestire l'app grafica;
- Blindare il server;

Fatte le dovute premesse, ho pensato subito alla pericolosità di avere un X su una piattaforma server.
Detto ciò, pensavo di chiudere TUTTE le porte con IPTables lasciando aperta solo quella di una VPN (pensavo ad OpenVPN che sembra al momento, da quanto letto, la più robusta) con certificati (senza di essi il server rifiuta qualsiasi tipo di connessione).

Dalla VPN è possibile aprire una sessione SSH, o collegarsi via VNC (TigerVNC) per poter "gestire" l'applicazione (tutti i due demoni saranno su una porta non default).

Il mio ragionamento è quello di "limitare" i demoni in "servizio esterno" che potrebbero essere potenzialmente soggetti a varie tipologie di attacco o vulnerabilità. La manutenzione di un'applicazione è più semplice che avere la paranoia di avere "attive" mille entrate. Aggiungo anche che con una buona VPN posso crittografare lo scambio dei dati tra client<->server.

Voglio anche impostare un CRON che esegue un rsync ogni 24h e fa un check se non sono disponibili aggiornamenti (potenzialmente di sicurezza) della VPN, nel caso positivo sarò avvertito via Email, provvedendo ad un bel aggiornamento.

Che ne pensate di questo piano del MALE?


_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

[djinnZ]

Personalmente sono più orientato alle soluzioni "manuali" pertanto andrei a prendere un affare tipo questo o tanto per far dello spirito tipo questo qui e farei attivare la connessione solo su richiesta (od anche l'aggiornamento automatico).
Quanto al sistema gestirei completamente l'aggiornamento su remoto e lo metterei su una immagine read only su sqashfs, di modo da limitarsi solo a copiare la nuova versione.
Con una verifica di un MD5 "firmato" che è meglio.
Quanto al "limitare" installi ed usi solo quello che ti serve. Mica sei su RH che ti piazza servizi attivi a profusione per risolvere dipendenze assurde.
Il server X è un rischio solo quando è accessibile dall'esterno.
Piuttosto che usare porte non standard è meglio rivolgersi al knokking od a soluzioni hardware come quella che ti ho illustrato.

Un minimo di informazioni in più non guasterebbe.
Se per esempio l'applicazione è un banale player gestirei direttamente la playlist via SMB senza affidarmi a strani accrocchi.
Manutenzione di questo genere è antieconomica per chi la oltre oltre ad essere un furto.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[GuN_jAcK]

Innanzitutto grazie del tuo consiglio, l'importanza dell'attrezzatura hardware illustrata mi ha illuminato per il mio prossimo regalo di Natale

Passando alla parte di sistema, l'applicativo che gira non fa altro che analizzare dei grafici, elaborarli e, con un intervento semiautomatico, avvia degli script. La parte grafica serve all'operatore per fare ulteriori controlli qualitativi sugli output (sottoforma di grafico).

Per quanto riguarda i demoni ovviamente mi limiterò solo allo stretto necessario.

Purtroppo so anche che mantenere una macchina del genere in termini di tempo\economici sono veramente spaventosi, ma la sensibilità del dato è troppo alta per potermi affidare a soluzioni che non ho pienamente sottocontrollo.

Se ti dovessero venire altre idee sono tutte orecchie
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

[djinnZ]

[GuN_jAcK]

Djinnz non ti preoccupare non è questo il caso

Io devo avere una sicurezza che il sistema funzioni "sempre" e senza "complicazioni" esterne. Ci sarà cmq un operatore h24 che farà i dovuti check, nel caso che la macchina non dovesse funzionare, si attiverà il secondo mirror.
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

[djinnZ]

Allora potresti pensare di fare come dici tu utilizzando il mirror per fare gli aggiornamenti. Poi li scambi e cloni l'installazione attraverso i pacchetti binari.
Gli script sono banali.
Anche se una impostazione di tipo embedded attraverso squashfs resta la via più blindata. Una volta soluzioni del genere si attuavano con OS su CDROM

A proposito di regali di natale... sto cercando qualcosa USB e facile da gestire (niente progetti fai da te) simile a quelle che ho indicato.
L'idea sarebbe gestire una serie di interruttori (una trentina), semplici, per dire al pc di attivare o meno la gestione su un sistema domotico (più o meno qualcosa del genere acceso gestisce il condizionatore spento lascia la camera a se stessa).
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist