Открыть список
Как стать автором
Обновить
0
Рейтинг

Конфискация серверов Интернет проектов. Реальный опыт и как этого избежать

Блог компании e-Style ISP
В данном посте хотим поделиться своим опытом по вопросу изъятия серверов.
Что делаем, как делаем и с чем вообще можно столкнуться…

Пост написан моим коллегой и представлен в виде правил…

Иногда читаю посты в стиле «держите проекты за границей, держите деньги за границей, живите за границей!». Дальше оказывается, что пишет все это напуганный пионер, у которого районный опер МВД отобрал компик с пиратской виндой и апачем, который раздавал порнуху…

Реальный опыт эксплуатации дата-центров говорит другое. Серваки изымают редко и по серьезному делу.

У нас за 5 лет не замечено ни одной попытки. А вот бумажных обращений из МВД, ФСБ, прокуротуры, судебных приставов, правообладателей – десяток в месяц на каждую тысячу физических серверов. И самое забавное, что 99% этих обращений содержат: «….на вашем сайте сайт.ру есть ссылка на ролик yyy на youtube. Мы подумали, что этот ролик может носить нехороший характер, требуем удалить ролик yyy с youtube. Экспертизу ролика и постановление может быть, когда-нибудь получим», при этом, ни к этому сайту, ни к youtube мы никакого отношения не имеем (не у нас, даже не через нас домен).

В очередной раз пишем о том, куда и к кому действительно нужно обратиться. При этом понимая, что никакого реального эффекта это не даст. Потому, что не все умеют пользоваться ping-ом, не говоря уже про базу RIPE и whois сервис. И спрашивается, кто же будет защищать наши права на жизнь и собственность?!

Больше всего радуют участковые и младшие опера МВД: «вот мне тут бумажку какую-то спустили, надо на нее отреагировать. Дайте мне какую-нибудь бумажку, чтоб мне было из чего отмазку состряпать и дело закрыть», про то, что содержимое бумажки к нам никакого отношения не имеет, я думаю, и говорить не надо.

Ищут ли хоть сколько-нибудь соображающие люди и понимающие? Да, бывает… но очень редко и, как правило, по делам класса «терроризм».

Итак, правила хорошего тона, или безопасность Интернет ресурсов в России:

1. Сервер не в офисе, это очень важно. Если умеете самостоятельно отбиваться от сотрудников, то дома. Или поставить сервер (или арендовать) в надежном дата-центре известной компании, например e-Style Telecom (www.estt.ru). Но не в офисе! Офис в нашей стране – как улица, проходной двор для любого удостоверения. Дата-центры курируют сотрудники специальных отделов ФСБ, которые на порядок адекватнее, да и есть закон о тайне связи. Процедуры другие, намного сложнее, ими пользуются только когда правда нужно.

2. Для VPN доступа используйте исключительно AES шифрование с длиной ключа минимум 256 бит.

3. Все приватные данные – на виртуальном RAM диске, причем частоту памяти в серваке используйте максимальную, выделить несколько Гб оперативки под диск легко в любой операционной системе. Асимметричным методом шифрования каждый час складывайте на диск и копию на СХД дата-центра. Пока второго ключа нет, информацию с диска за разумное время не поднять, а из оперативки – на работающем компе нереально. Питание в хорошем дата-центре не пропадает никогда.

4. Фронд-энд машина (или виртуалка) должна быть серверная open-source *nix. Как минимум виртуалка с проксей, VPN и пробросом соединений. Настройка фильтрации пакетов по принципу «только то, что нужно». Листы доступа для вашего IP частично продублировать на сетевом оборудовании дата-центра (как правило, бесплатно, или за смешные деньги).

5. Бэкапы глубиной 5-6 минимум, обязательно на локальный диск и внешнюю СХД. Приватные данные – конечно же, только с шифровкой устойчивым ассиметричным методом.

6. Механизм виртуалок позволяет, как правило, задублировать большинство софтверных сервисов. А аппаратные проблемы на хороших серверах уже редки (у нас по последней закупленной сотне серверов за год всего 1 отказ, мать сдохла… Конечно же, отказы считаем кроме дисков… но тут RAID и SMART спасают).

7. Настраивать серверы нужно так, чтобы обойтись без постоянного присмотра за ним. И использовать его только по делу. Для терминального доступа шальных юзеров можно создавать отдельные виртуалки, чтобы не загаживать сервер.

8. Для административного доступа использовать авторизацию по сертификатам, или как угодно, но чтобы ключи/пароли были не в памяти человека, а на флешке, или бумажке. Обеспечить физическую безопасность флешки/бумажки гараздо легче, чем найти немого админа, который после недели висения за наручники в КПЗ, или в каком-нибудь подвале подмосковного коттеджа, не вспомнит паролей. Ломать людей у нас умеют еще дешевле, чем шифрование.

9. Не размещайте ссылки, торренты и ролики про терроризм, экстримизм, детскую порнографию.

10. Если вы делаете открытый форум, его нужно постоянно мониторить на предмет новых постов. Не используйте мало-популярные модули к CMS-кам.

11. Отделяйте бизнес от прочих проектов. Если это сервер с важной информацией, ничего «до кучи» на нем быть не должно.

Собственно вот так…
Теги:дата-центрсерверыаренда серверовразмещение серверовцентр обработки данныхизъятие серверавзломали сервакразместить железкиразместить оборудованиеинтернет проектыконфискация серверов
Хабы: Блог компании e-Style ISP
Всего голосов 58: ↑44 и ↓14 +30
Просмотры17.9K

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
2000
Местоположение
Россия
Сайт
www.estt.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре