Infrastruttura di Minifisto

screen-shot-2016-09-21-at-20-17-30

Odio fare presentazioni, grafici, elaborare immagini e quant’ altro. Non serve certo un genio a capirlo, immagine più brutta non potevo farla, ma oh c’ è poco da farci. Come ogni buon sysdamin trascuro l’ estetica ma non tralascio i contenuti. Passiamo quindi a parlare, molto brevemente, del setup di Minifisto. Senza fornire troppi dettagli a black hats e white hats bramanti ti entrare nella roccaforte, ecco qua una lista di tecnologie, ad alto livello, che abbiamo usato per tirare su questo blog. Tralscio wordpress in quanto e’ abbastanza chiaro.

  • Openstack è l’ infrastuttura sulla quale gira la nostra istanza ( vm per intendersi )
  • Ubuntu LTS il nostro sistema operativo. Accorgimenti di base sono stati presi per proteggere il sistema operativo al livello di autenticazione. Vedi firewall, apparmor, ssh con autenticazione solo via public key, e via discorrendo.
  • Nginx il server web. Anche questo opportunamente hardened: server tokens, xss, error pages, ssl ciphers, ssl protocols, ssl_dhparam  etc…
  • Mysql come database. Avevo pensato all’ encryption del database ma mi sembrava eccessivo
  • Interamente in HTTPS. Nella fattispecie i protocolli accettati sono tutti TLS based
  • Let’s encrypt come CA . Questo va rinnovato ogni 90 giorni, un cronjob si occuperà proprio di questo
  • Observium come basic monitoring ed eventualmente alerting
  • Pfsense il nostro firwall casalingo. L’ istanza gira su di una dmz, ed ha accesso in uscita solo verso alcuni hosts e porte opportunamente configurate. Fidarsi è bene, non fidarsi è meglio.
  • Cloudflare free subscription come cdn. E’ ovvio che è pressochè inutile nel nostro caso in quanto il sito sarà prevalentemente visitato da ip Italiani, però ero interessato a usare questa soluzione per guadagnare un pò di velocità nel caricamento delle pagine.
  • Google Analytics per le statistiche sul sito, che si integra alla perfezione con worpress e cloudflare
  • Pingdom per controllare i tempi di riposta e di caricamento delle pagine web
  • Google authenticator per proteggere il file login.php di wordpress

 

TODO :

  1. nginx con modsecurity come web application firewall ( non previsto dalla free subscription di cloudflare )
  2. IPS/IDS così su due piedi avevo pensato a snort per quanto riguarda l’ ispezione a livello rete
  3. caching al momento non necessario sopratutto visto che abbiamo cloudflare, ma dovessimo cambiare idea sicuramente un varnish sarebbe da mettere

 

 

Forse ho un pochino esagerato su qualche aspetto, ma hostando in casa volevo dormire sonni tranquilli. E sopratutto mi prendeva bene.

Share

Categories:

, , , ,

Comments

2 responses to “Infrastruttura di Minifisto”

  1. bonovox avatar
    bonovox

    Capito sostanzialmente nulla. Ottimo, significa che hai fatto un buon lavoro

  2. Old_Glory avatar

    Ottimo zio. Mi rallegra sapere che posso lasciare PASSWORD (tutto maiuscolo) come password e ADMIN (anche questa volta tutto maiuscolo) come utente.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Share