Dette indlæg er alene udtryk for skribentens egen holdning.

Flyttet til Dallas

21. oktober 2008 kl. 05:4319
Artiklen er ældre end 30 dage

Nu skulle det ske. Jeg har egentligt overvejet det længe, men efter et tilfældigt indfald besluttede jeg mig at flytte til Dallas, Texas. I hvert fald rent virtuelt, det var planen om at droppe hjemmeservere der blev ført ud i livet.

Først og fremmest var det den evige blæserstøj og besværlighederne ved at flytte strøm og net ud i kosteskaber der var drivkraften, men på længere sigt vil jeg gerne være fri for at bekymre mig om hardware, strøm og netadgang. Som nævnt i mit tidligere indlæg er det for ufleksibelt og usjovt at købe færdigeløsninger som web- og mailhotel. Løsningen blev derfor en virtuel server hos Linode.com.

For 20 USD om måneden får jeg en Xen-instans med 360 MB ram, 12 GB harddisk-plads og en softlimit på 200GB trafik om måneden, med mulighed for let at tilkøbe mere. En række andre udbydere har tilsvarende tibud, men ud over ovenstående fire parametre så jeg på om IRC var tilladt, let adgang til IPv6 og om der var et velfungerende community omkring firmaet. De to første ting afhænger ud over af firmaet også af hosting-centeret, men i hvert fald Linodes servere i Dallas opfylder mine behov.

Og så er det bare at taste sine kreditkort oplysninger ind, vente på at man bliver godkendt i hånden (tager et par minutter i us-amerikansk arbejdstid), og endelig kan man dele sin harddiskplads op og få installeret en linuxdistribution med et par klik i en webformular. Og så kan man boote og ssh'e ind til sin maskine.

Men hvad med sikkerheden?

Helt lavpraktisk, så var jeg tidligere beskyttet af at alt traffik skulle igennem en monowall-boks der lavede NAT og firewalling. Nu er jeg alene beskyttet af at jeg ved hvilke porte der er programmer der lytter på. Jeg skal nok sætte iptables op, men uventede besøgende vil let kunne ændre lokale iptables regler, så meget er der ikke vundet.

Artiklen fortsætter efter annoncen

Linodes ansatte har reelt set adgang til mine data bagom systemet og jeg har ingen kontrol over fysisk adgang til min server. Det første må jeg bare tage til efterretning og overveje hvilke data jeg har liggende på serveren - men det gælder iøvrigt en hvilken som helst server. Med hensyn til fysisk adgang har jeg næsten større tiltro til The Planet's adgangskontrol end min hoveddør.

Og så har den US-Amerikanske stat selvfølgelig lettere adgang til min datatraffik og mine data end før. Eller har de virkelig det' Kan jeg ikke lige så godt tro at de kan aflytte og få min dansk-placerede computer konfiskeret næsten lige så let'

På nogle få områder skal der lige udvises noget omtanke, men alt i alt føler jeg mig lige så sikker. Desuden har jeg endelig fået sat noget offsite-backup op.

(BTW: spørg efter referral-kode...)

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
21. oktober 2008 kl. 07:51

Jeg har prøvet flere virtuelle servere hos flere forskellige udbydere. Jeg oplever generelt 3 store udfordringer:

  1. Ved 2 udbydere har jeg oplevet disk crash/inkonsistens. Jeg har selv fået aben og det har været nødvendigt med total reinstallation af OS hver gang. Hos en af udbyderne betalte jeg ovenikøbet for løbende backup, men udbyderen måtte meddele at det desværre ikke var muligt at genetablere data. Jeg bad derfor udbyderen brænde al data til dvd - Jeg fik dvd'erne, men også en regning på 5 timer á 1200,- + moms + kørsel.

  2. Jeg har indimellem haft performance problemer. Lokal virtuel CPU er ikke belastet - alligevel oplever jeg at tingene hænger. Jeg gætter på at der sættes lidt for mange virtuelle servere op på samme hardware.

  3. Når host hardware står af kan data som regel flyttes til ny hardware forholdsvist smertefrit. Desværre medfører flytning alt for ofte at public IP bliver ændret. Derfor er det vigtigt at holde styr på DNS - specielt C-NAME.

Bemærk i øvrigt, at Ping RTT kan være høj når serveren står over-there.

Mht. til firewalling/sikkerhed (og nu får jeg sikkert rykket hovedet af) er sikkerheden i virkeligheden ikke så meget anderledes sammenlignet med en monowall. Problemet er, at firewallen skal beskytte forretningslogikken, men samtidigt åbnes (NAT) for at give adgang til samme. En firewall fritager dig ikke for at holde styr på hvilke porte applikationerne benytter. Der er for såvidt ikke nogen grund til at sætte en firewall imellem når du alligevel kun skal bruge ssh, http, smtp, pop3 osv. Firewallen bliver først relevant når der køres "intranet tjenester" eller når firewall kan lave content screening. "netstat" er din ven!

Jeg har formodentligt været drøn uheldig. Men jeg overvejer seriøst at trække al hosting hjem. Jeg har alligevel haft behov for en lokal server til overvågning af udbyderne, backup af udbyderne, backup mailserver osv. Jeg er måske bare drøn uheldig.

6
21. oktober 2008 kl. 10:38

Jeg oplever generelt 3 store udfordringer

Jo, men jeg mener kun at din anden udfordring er en reel forskel i forhold til de udfordringer jeg har oplevet derhjemme.

Hvis harddisken derhjemme crasher, så sidder jeg i endnu højere grad med aben. Jeg skal selv opdage det, jeg skal selv have en resevedel på lager, jeg skal selv sætte tid af til at erstatte den - alt sammen inden disk nummer to står af. Den største forskel er at hvis uheldet er ude, så har jeg ikke en harddisk jeg selv kan sætte mig til at pille data ud af.

At skifte IP-nummer har jeg også været ude for derhjemme. Jeg tror ikek at min udbyder der er rettet mod privat-kunder er mindre tilbøjelig til at skifte IP-adresser end nogle der sælger hosting. Den eneste løsning er at får sin egen serie IP-adresser fra en RIR.

Mht. til firewalling/sikkerhed (...) er sikkerheden i virkeligheden ikke så meget anderledes sammenlignet med en monowall.

Det handler om sikkerhed i dybden. Nu kan enhver med brugeradgang sætte en server op på min VPS. Hvis jeg får sat en lokal iptables-firewall op kræver det root-rettigheder, med en monowall skulle man kompromiterer et ekstra system.

Det handler ikke om folks mulighed for at opmå utilsigtet adgang, det handler om hvad de kan opnå ved det.

BTW: jeg laver backup med rdiff-backup til en maskine her i Danmark.

14
21. oktober 2008 kl. 15:32

Du kan vel implementere one-off port knocking - så kan man i det mindste ikke se at porten er åben ved et scan.

15
21. oktober 2008 kl. 15:54

Hvis der er een herinde som har gode forslag til hvordan man måler CPU performance på en virtuel server hører jeg gerne om det.

Jeg har PT både CentOS, Win 2003 Web edition og freeBSD kørende forskellige steder i verden. Når jeg konstaterer sløv performance er jeg hurtig til at trække på "top","taskmgt" og "uptime". Som regel er CPU belastning meget lav. Samtidigt er ping RTT stabil. Jeg ville frygteligt gerne køre et CPU-benchmark - men det hjælper jo ikke så meget når benchmark udregnes ift. det interne (virtuelle) ur. Jeg har oplevet at systemuret på virtuelle servere kan tabe mere end 20 minutter pr. dag!!! Hvis der findes et benchmark værktøj som benytter et eksternt ur som reference hører jeg gerne om det. Jeg mangler med andre ord et værktøj til at måle om mine udbydere holder hvad de lover.

16
21. oktober 2008 kl. 16:42

Uret på min vps hos slicehost.com går nu som det skal.

Desuden er der et andet problematisk aspekt ved benchmarking af xen-setups; der er forskel på garanteret cpu-tid, og tilgængelig cpu-tid.. De fleste tillader nemlig folk at bruge de andre kunders ubenyttede cpu-tid..

9
21. oktober 2008 kl. 11:41

Mht. IP problemer, jeg har fundet DNS servicen http://www.no-ip.com/ de kan skifte IP adressen på få minutter, og man kan installere en klient som regelmæssigt sender en besked til dem således at de kan aflæse afsender IPen og skifte hvis det er krævet.

Uanset om man har brug for den service eller ej er det rart at vide at det ikke tager 5 dage at omdirigere sit domæne.

10
21. oktober 2008 kl. 13:24

Hvor meget CPU får du for de 20 USD? Tilstrækkeligt til at køre de tjenester du har behov for, og uden "afbrydelser" ? (De skriver ikke lige noget om det på den side du henviser til).

Jeg benytter selv en Fransk udbyder[1] til 10 EUR/md, med lidt mindre RAM/HD, men uden trafik begrænsning, hvilket passer ret godt til behovet her. Men, enten har jeg købt for lidt CPU, eller også hænger Xen bare indimellem når der er for mange VPSer på - det er pænt irriterende.

Mvh, Søren

[1] http://www.gandi.net/hosting/proposal/

17
22. oktober 2008 kl. 09:32

Jeg benytter hosteurope.de og har gjort det et stykke tid. Det fungerer helt upåklageligt med gode RTT tider og fint CPU/RAM niveau til prisen.

/Niels

18
25. oktober 2008 kl. 17:10

Tak for oplysningen på http://peter.makholm.net/2008/08/16/dagen-ejler-tabte/

Da du fortsat bagvasker gælder forældelse formentlig fra det tidspunkt du ikke længere udgyder dine bagvaskelser. Der er også passus om at sikre tilstrækkeligt grundlag for sagsanlæg.

Jeg arbejder derfor fortsat på sagen. Desuden har du jo i en længere tid været ude af stand til at bagvaske og man kunne derfor tro, at du også fortsat var uevnende til at vedligeholde din bagvasker maskine.

Er din gode ven Peter Toft via Open Source Days ApS i stand til at betale lånet på KR 300.000 tilbage til DKUUG?

19
25. oktober 2008 kl. 18:40

Ejler, hold nu kæft. Lad byretten tale.

11
21. oktober 2008 kl. 14:01

Jeg har ikke oplevet problmer siden jeg registrerede i onsdags. Men jeg skal nok sige til...

By accepting our contracts and using our services, you agree to abide to our code of ethics which consists, in particular, of protecting and respecting minors, human dignity, public order and good moral standards, not infringing on the rights of third parties (private life, image, honor and reputation, trademarks, designs and models, copyrights, etc.) or the security of persons, property, the government, or the good working order of public institutions, and to help in the fight against abusive and/or deviant uses of the Internet (spamming, phishing, hacking, etc.).

Det er jeg tilgengæld ikke sikker på at jeg ville turde.

12
Indsendt af Anonym (ikke efterprøvet) den tir, 10/21/2008 - 15:13

På nogle få områder skal der lige udvises noget omtanke, men alt i alt føler jeg mig lige så sikker.

Du har lige konkluderet at du ikke har nogen sikkerhed mod de åbenlyse bagdøre som endda er lovkrævet i US.

Uanset hvor store udfordringerne er med at sætte hjemmeserveren op, hvordan kan du så "føle" dig lige så sikker?

Set fra en angribers side - uanset hvem - så er værdien ved at cracke en server-park og opnå adgang og måske kontrol med x tusinde installationer uproportionalt bedre i forhold til udfordrngen med x antal forskellige hjemmeinstallationer med begrænset værdi per styk.

Du er for min skyld velkommen til at gøre hvad du vil, men problemet er jo at det er et skråplan uden lykkelig udgang.

At skabe en falsk sikkerhedsfølelse er ofte farligere end at kende usikkerheden.

7
21. oktober 2008 kl. 11:06

En anden lille krølle... Hvis du sætter din mailserver/konto op hos udbyderen - og maskinen crasher - har du et problem med at komme i kontakt med udbyderen. Det er ofte et problem at ændre sin profil/emailadresse hos udbyderen. Og det hjælper jo ikke meget at de svarer via en mailserver som er nede.

Jeg bruger altid en hotmail/gmail når jeg opretter mig hos en udbyder.

Jeg kører backup via rsynch.

4
21. oktober 2008 kl. 09:49

Bemærk i øvrigt, at Ping RTT kan være høj når serveren står over-there.

Helt enig! Når jeg pinger vps1.hacking.dk, som er placeret hos Linode, får jeg reply efter ca. 145 ms. Når jeg pinger min egen virtuelle "lege-server", som er placeret hos RimuHosting i London, får jeg svar på ca. 25 ms. Turen på tværs af Atlanten tager ganske enkelt tid!

Om det så betyder noget ift. drift af diverse små-websites, mail, osv. er en helt anden diskussion. Sålænge hr. Makholm ikke har planer om at lancere en europæisk konkurrent til Google eller YouTube er det nok til at leve med :)

5
21. oktober 2008 kl. 10:20

Helt enig! Når jeg pinger vps1.hacking.dk, som er placeret hos Linode, får jeg reply efter ca. 145 ms

Det er korrekt, men selv ikke ved interaktivt arbejde over ssh finder jeg at det giver problemer.

Jo, en mere lokal løsning kunen være at foretrække, men det koster. Med RimuHosting's listepriser for deres London-produkt, så får man langt færre resurser for 29 USD end jeg får for 20 USD. Desuden indeholder deres betingelser en showstopper med hensyn til IRC.

Det er selvfølgelig en afvejning af behov, og det er rigtigt at man skal have latency med i sine overvejelser. Men så meget værd er lavere ping-tider heller ikke for mig.

13
21. oktober 2008 kl. 15:23

Det er korrekt, men selv ikke ved interaktivt arbejde over ssh finder jeg at det giver problemer.</p>
<p>Jo, en mere lokal løsning kunen være at foretrække, men det koster. Med RimuHosting's listepriser for deres London-produkt, så får man langt færre resurser for 29 USD end jeg får for 20 USD. Desuden indeholder deres betingelser en showstopper med hensyn til IRC.</p>
<p>Det er selvfølgelig en afvejning af behov, og det er rigtigt at man skal have latency med i sine overvejelser. Men så meget værd er lavere ping-tider heller ikke for mig.

Var det kun prisen som gjorde forskellen på at du købte serverplads hos en amerikansk udbyder fremfor en europæisk? Man skulle da tro der fandtes noget "lokalt" som havde nogenlunde samme prisniveau.

Nu er jeg selv flyttet til USA (fysisk) og har på egen krop erfaret hvad high latency TCP forbindelser kan gøre ved din overførselstid over Atlanten, og det er ikke kønt. Hvis det var mig der købte serverplads til fx backup eller til primært brug i Danmark, ja så ville jeg helt sikkert have fundet noget lokalt.

Just my two cents...

8
21. oktober 2008 kl. 11:13

email fra d. 16 oktober 2008..

In the course of the last two days, our Computer Security Incident Response Center team has identified suspicious activity in our customer management portal. Through their vigorous investigation, we have identified what appears to be a security breach that may have affected some of our customers' accounts. We already have notified these customers about this potential malicious activity. We have identified the methods by which the systems were compromised and have closed those holes. In addition to those actions, we will be implementing additional security measures to further strengthen the infrastructure and systems. At this juncture, we are aware of only two incidents whereby log-in and server passwords were accessed. Based upon our security review of access logs, we do not believe any credit card information has been compromised. We have contacted the authorities and are working with them to identify the perpetrator and to pursue appropriate legal action.

We are taking a proactive approach by contacting all of our customers, which we believe is the best course of action. We strongly suggest that all customers implement a security best-practices approach by immediately taking four steps to mitigate risk:

  1.   Change your Orbit log-in passwords immediately and do so again every 60 days.
    
  2.  Change your server passwords and do so again every 60 days.
    
  3.  Be alert to any suspicious activity on your account. 
    
  4.  If you suspect any unusual activity, please retain your access logs along with any other information and contact us at either of the numbers below.
    

We will keep you apprised of updates as we learn more. In the meantime, please call The Planet's Customer Support Team if you need assistance or if you have questions at 866-325-0045 or 281-714-4000.

Sincerely,

The Planet Customer Support Team

3
21. oktober 2008 kl. 09:39

Nu hvor emnet "backup" er bragt på banen: hvilke værktøjer bruger I andre til online backup af virtuelle/dedikerede servere?

Jeg har overvejet at kaste mig over en af de mange løsninger der benytter Amazon S3, fx s3sync.rb. Er der nogen der har erfaring med disse eller andre backup-tjenester, som gerne må være pålidelige og nemme at arbejde med?

2
21. oktober 2008 kl. 09:07

jeg har benyttet serverpronto.com i et par nu...

der har været to gange hvor serveren gik ned, men ellers har det fungeret fint nok...