# Parere su configurazione server

## GuN_jAcK

Ciao ragazzi vorrei un Vostro prezioso parere   :Surprised: 

Vi faccio una breve anticipazioni per capire la mia esigenza:

- Server permanentemente acceso;

- Devo avere l'X grafico per far girare un'applicazione (aihmè pure indispensabile);

- Connessione VNC per gestire l'app grafica;

- Blindare il server;

Fatte le dovute premesse, ho pensato subito alla pericolosità di avere un X su una piattaforma server. 

Detto ciò, pensavo di chiudere TUTTE le porte con IPTables lasciando aperta solo quella di una VPN (pensavo ad OpenVPN che sembra al momento, da quanto letto, la più robusta) con certificati (senza di essi il server rifiuta qualsiasi tipo di connessione).

Dalla VPN è possibile aprire una sessione SSH, o collegarsi via VNC (TigerVNC) per poter "gestire" l'applicazione (tutti i due demoni saranno su una porta non default).

Il mio ragionamento è quello di "limitare" i demoni in "servizio esterno" che potrebbero essere potenzialmente soggetti a varie tipologie di attacco o vulnerabilità. La manutenzione di un'applicazione è più semplice che avere la paranoia di avere "attive" mille entrate. Aggiungo anche che con una buona VPN posso crittografare lo scambio dei dati tra client<->server.

Voglio anche impostare un CRON che esegue un rsync ogni 24h e fa un check se non sono disponibili aggiornamenti (potenzialmente di sicurezza) della VPN, nel caso positivo sarò avvertito via Email, provvedendo ad un bel aggiornamento.

Che ne pensate di questo piano del MALE?   :Question: 

 :Razz: 

----------

## djinnZ

Personalmente sono più orientato alle soluzioni "manuali" pertanto andrei a prendere un affare tipo questo o tanto per far dello spirito tipo questo qui e farei attivare la connessione solo su richiesta (od anche l'aggiornamento automatico).

Quanto al sistema gestirei completamente l'aggiornamento su remoto e lo metterei su una immagine read only su sqashfs, di modo da limitarsi solo a copiare la nuova versione.

Con una verifica di un MD5 "firmato" che è meglio.

Quanto al "limitare" installi ed usi solo quello che ti serve. Mica sei su RH che ti piazza servizi attivi a profusione per risolvere dipendenze assurde.

Il server X è un rischio solo quando è accessibile dall'esterno.

Piuttosto che usare porte non standard è meglio rivolgersi al knokking od a soluzioni hardware come quella che ti ho illustrato.

Un minimo di informazioni in più non guasterebbe.

Se per esempio l'applicazione è un banale player gestirei direttamente la playlist via SMB senza affidarmi a strani accrocchi.

Manutenzione di questo genere è antieconomica per chi la oltre oltre ad essere un furto.

----------

## GuN_jAcK

Innanzitutto grazie del tuo consiglio, l'importanza dell'attrezzatura hardware illustrata mi ha illuminato per il mio prossimo regalo di Natale  :Razz: 

Passando alla parte di sistema, l'applicativo che gira non fa altro che analizzare dei grafici, elaborarli e, con un intervento semiautomatico, avvia degli script. La parte grafica serve all'operatore per fare ulteriori controlli qualitativi sugli output (sottoforma di grafico).

Per quanto riguarda i demoni ovviamente mi limiterò solo allo stretto necessario.

Purtroppo so anche che mantenere una macchina del genere in termini di tempo\economici sono veramente spaventosi, ma la sensibilità del dato è troppo alta per potermi affidare a soluzioni che non ho pienamente sottocontrollo.

Se ti dovessero venire altre idee sono tutte orecchie  :Smile: 

----------

## djinnZ

 *GuN_jAcK wrote:*   

> la sensibilità del dato è troppo alta

 Che vuol dire che è roba da tener segreta? O che in caso di divulgazione od alterazione implica responsabilità civili e/o penali?

Allora la mia soluzione (tra il serio ed il faceto) è obbligatoria.

Programmi del genere teamviwer & C non funzionano con la faccenda del codice da scambiare per puro caso.

C'è una specifica necessità in ordine alla gestione legale delle responsabilità. Ci vuol qualcuno che, fisicamente presente, ti autorizzi ad intervenire.

Non è una cosa che puoi mettere in discussione. per ragioni pratiche e legali.

Gli darai un link grafico per attivare la connessione (al limite) od imposti quella modalità di funzionamento (che è l'approccio migliore). Da contratto ove l'operatore non ti garantisca l'intervento, o non riavvia per tempo la macchina per caricare l'aggiornamento, non sei più responsabile.

Quanto alla gestione, lanciare un emerge -aDNuv @world su una macchina in produzione... è puro delirio.

Ribadisco il mio suggerimento di gestione remota. Blindata (non puoi modificare un'immagine squashfs a runtime, questo è il punto).

Su un tuo pc controlli, compili l'immagine completa del sistema e quando è pronta chiami e la carichi avvisando l'operatore di riavviare (o riavvii tu ma lo fai comunque assistere ed imposti una gestione che ti renda impossibile farlo senza assistenza).

Supponiamo che questa sia una macchina dedicata alla vigilanza... registrazione videocamere di sicurezza, diciamo in un negozio di telefonini, lanci il riavvio da remoto e la macchina, per un futile errore non si riavvia, può capitare.

Se sei stato autorizzato e l'operatore sul posto dimentica di controllare, quindi mancano le registrazioni per beccare il tipo che si è grattato l'iphone in esposizione, i 1000 euro li cacciano lui ed il commesso (nel caso), se lo hai potuto lanciare tu... non solo paghi anche tu (o tutto tu se sbagliano la procedura disciplinare) ma almeno all'inizio saresti da indagare d'ufficio per complicità nel furto.

Non è una delle mie solite esagerazioni, per fare dello spirito, è un caso reale.

Ed è inutile dire che più tempo passa per l'update peggio è.

Tralasciando gli scherzi c'è un problema di ordine legale in una gestione del genere di quella che vuoi far tu. Ho iniziato ironizzando perché se ne era già parlato se non erro.

----------

## GuN_jAcK

Djinnz non ti preoccupare non è questo il caso  :Smile: 

Io devo avere una sicurezza che il sistema funzioni "sempre" e senza "complicazioni" esterne. Ci sarà cmq un operatore h24 che farà i dovuti check, nel caso che la macchina non dovesse funzionare, si attiverà il secondo mirror.

----------

## djinnZ

Allora potresti pensare di fare come dici tu utilizzando il mirror per fare gli aggiornamenti. Poi li scambi e cloni l'installazione attraverso i pacchetti binari.

Gli script sono banali.

Anche se una impostazione di tipo embedded attraverso squashfs resta la via più blindata. Una volta soluzioni del genere si attuavano con OS su CDROM

A proposito di regali di natale... sto cercando qualcosa USB e facile da gestire (niente progetti fai da te) simile a quelle che ho indicato.

L'idea sarebbe gestire una serie di interruttori (una trentina), semplici, per dire al pc di attivare o meno la gestione su un sistema domotico (più o meno qualcosa del genere acceso gestisce il condizionatore spento lascia la camera a se stessa).

----------

