Vragen over: Totaal oplossing DirectAdmin, firewall, antiblacklist, load control

Hoi, ik ben bezig om de hosting van mij en die van mijn zaken partner aan het samenvoegen....
Nou heb ik hier al wat uurtje rond gelezen. maar heb toch een paar vragen voordat ik naar de aanbiedingen ga.

1) Directadmin
ik ben DA gewend maar grootste probleem vind ik dat je de load niet eenvoudig kan beperken.
klanten met slechte php scripts belasten de server overmatig
-over op plesk?
-aparte DA per klant?
-klant email omgeving ?(dat is een da vraag)
of zijn er ander oplossingen?

2) Volledige redundant van de nieuw/hoofd server?
Graag wil ik dat er gesyncd wordt naar 2e identiek server (maar kan de cpu en mem minimaal zijn) (als het virtueel wordt)

3) Soft / hard firewall volledig gescheiden (ik weet dat voor DA dit een probleem kan zijn, er zijn workarrounds)
Wil graag dat alles buiten de 80,443 basis porten, alles achter een firewall zit, denk aan (ssh admin )

4) verkomen van hack, virus, rootkit en blacklisting (eventueel een eigen mail-filter)
mogelijk of teveel gevraagd?
bij de huidige hoster of extern?

5) Support (geen 24/7 tenzij er alles uit ligt, maar dan is er altijd support)
het gaat om het updaten onder houden en ondersteuning bij php problemen e.d.
Niet als mijn klant zijn ww is vergeten
uren inkopen ?

Hopelijk is het een beetje duidelijk. Ik doe een beroep op jullie ervaring. Weet zeker dat ik niet de enige
ben met deze vragen en het wiel opnieuw moet uitvinden

Bij voorbaat dank

1) DA op cloudlinux niks voor je dan?
2) tenzij je erg snel kunt opschalen w.b. cpu/mem zou ik ongeveer dezelfde resources aanhouden en daar niet al teveel van afwijken. Anders krijgt de fallback bij een storing alle load voor zijn kiezen en gaat ie wellicht direct op zijn bek.
3) je kunt een firewall in bridged mode pakken en dan hoef je da niet op een intern ip te draaien. Het kan wel, maar het hoeft niet.
4) Mja, dat ligt aan je beheerder zijn kennis, het goed up-to-date houden van alles en veel gezond verstand van jezelf én je gebruikers. Voorkomen is onmogelijk want je het maar 1 idio** nodig die iets fout doet (wel op links in de verkeerde emails klikken, een belangrijke update een week uitstellen of niet doen, een spam run zonder limiet, ik noem maar een paar dwarsstraten. Je kunt wel zoveel mogelijk best practices in acht nemen, een goed mailfilter gebruiken voor inkomend en uitgaand etc. Deels zal je eigen hoster moeten verzorgen, deels kan het extern worden afgehandeld.
5) dat kun je zelf het beste bepalen aangezien alleen jij weet wat voor kennis je in huis hebt. Managed heeft voordelen omdat je dan vaak met je server/vps meedraait in de routine van de hoster die daar scripts en/of systemen voor heeft, updates apart test, de boel 24/7 in de gaten houdt e.d. Daardoor kan managed ook goedkoper zijn dan bv. elke maand een beheerder er 1-2 uur naar laten kijken en de rest van de maand niks. Kun je daarentegen e.e.a. zelf wel in orde houden en heb je maar een paar keer per jaar een beheerder nodig, dan kunnen losse uren goedkoper zijn.

1) dat lost zeker wat .... maar ik heb daar geen ervaring mee 14euro p/mn is het zeker waard

2) Opschalen kan met 1 reboot.... en bespaard me 40 euro per mnd als de server beide virtu
tenzij ik een dedicated server neem dan maakt het niet uit. Nadeel daarvan is dat
ik geen risicospreiding heb

SSD is must, heb ik begrepen

3) Het liefst zou ik met Untangle meerdere servers erachter configureren
"Hoeft niet" bedoel je firewall of bridge-mode
4) idd.... mail limiet en alles in en out door een spam filter te laten lopen
maar het gaat ook bewaken en signaleren....
een gekoppeld systeem dat risico ip automatisch blokt

maar ook de klanten met oude wp versie / php scripts die gehackt worden

5) Wil een stukje ontzorging.... daar heb ik wel 150€ per/mnd voor over
En als ik op vakantie ben er problemen worden opgevangen.

Maar denk ook in eventueel een freelancer.... maar het vertrouwen is een grote kwestie

Je moet Untangle wel op een serieuze server met overkill plaatsen. Mijn ervaring is datje anders vertraging oploopt. Untangle is hier niet ideaal voor. Ik adviseer je om csf te installeren. Dit kun je vervolgens via DA Admin menu eenvoudig beheren.


Verzonden vanaf mijn iPhone met behulp van webhostingtalk

In principe wil je een firewall wel op een aparte bak hebben (of een server met untangle, of een hardware firewall, of whatever). Hoe meer power je hebt om snel (veel) connecties te analyseren, hoe beter. Zeker als je IPS functies gaat gebruiken, dan ben je erg blij met de extra power die je nodig hebt bij kleine tot middel grote ddosjes (zolang de pijplijn niet vol zit, wil je niet dat je firewall de bottleneck wordt en de boel alsnog op zijn gat gaat).

Wij gebruiken in elk rack een hardware firewall met de meest common rules en ips. Daarnaast csf/lfd nog op de servers erachter om individuele issues aan te pakken.

Voor klanten die hun oude software (joomla, drupal, wordpress e.d.) niet kunnen of niet willen updaten, hebben we 'speeltuin' servers. Die moven we dan naar de achterbuurt waar iedereen zit die niet wilt updaten.

Een hardware firewall kún je in bridge mode laten werken. Dan kun je de servers erachter gewoon een publiek ip laten houden. Maar je hoeft hem niet in bridge mode te zetten. Je kunt hem ook laten routeren en je servers in een private lan configureren. Beide heeft voor en nadelen, maar bridge mode is gewoon handig in geval ie eens kapot gaat. Dan is het een kwestie van een utp kabel omsteken en voila, de boel draait weer.

Oorspronkelijk geplaatst door systemdeveloper

Voor klanten die hun oude software (joomla, drupal, wordpress e.d.) niet kunnen of niet willen updaten, hebben we 'speeltuin' servers. Die moven we dan naar de achterbuurt waar iedereen zit die niet wilt updaten.

Kan je niet beter Patchman hiervoor gebruiken en de kwetsbaarheden patchen? Scheelt je weer sites offline halen en IP reputatie te herstellen als weer een leuke SPAMrun geweest is. Sowieso is klanten die niet willen updaten een pain in the ass, want die zien het risico niet in (net als een dak niet onderhouden en dat er dan ineens lekkage komt).

Helaas zijn die klanten soms ook zo gezellig die je dan dingen gaan verwijten dat je beveiliging niet op orde is. Volgens mij kan je dit advies beter niet geven, om een speeltuinserver in te richten, scheelt je heel veel gedoe achteraf

CSF/LFD bijvoorbeeld in combinatie met DirectAdmin kan ik ook zeker aanraden, ben ik erg over te spreken, mits je wel de juiste dingen instelt uiteraard.

Er zijn partijen zijn waar je een firewall kan beheren via een webinterface, maar dat is meestal heel basis op poortniveau en IP-niveau.

Oorspronkelijk geplaatst door stefantriep

Kan je niet beter Patchman hiervoor gebruiken en de kwetsbaarheden patchen? Scheelt je weer sites offline halen en IP reputatie te herstellen als weer een leuke SPAMrun geweest is. Sowieso is klanten die niet willen updaten een pain in the ass, want die zien het risico niet in (net als een dak niet onderhouden en dat er dan ineens lekkage komt).

Helaas zijn die klanten soms ook zo gezellig die je dan dingen gaan verwijten dat je beveiliging niet op orde is. Volgens mij kan je dit advies beter niet geven, om een speeltuinserver in te richten, scheelt je heel veel gedoe achteraf

CSF/LFD bijvoorbeeld in combinatie met DirectAdmin kan ik ook zeker aanraden, ben ik erg over te spreken, mits je wel de juiste dingen instelt uiteraard.

Er zijn partijen zijn waar je een firewall kan beheren via een webinterface, maar dat is meestal heel basis op poortniveau en IP-niveau.

Mwoah, wij hoeven eigenlijk nooit wat offline te halen of ip reputaties te herstellen. Klanten krijgen uiteraard meerdere malen het verzoek om hun sites up2date te houden (en opties genoeg om dat uit handen te geven eventueel) maar indien ze dat weigeren communiceren wij wel degelijk het 'speeltuin' verhaal. Het zal je verbazen hoeveel van die weigeraars dan opeens wel in staat zijn om even op het update linkje te klikken. Ik ga een shared hosting klant van die paar euro echt niet mijn omgeving met welwillende klanten laten verzieken. Sterker nog, ik ben ze liever kwijt dan rijk.

Oorspronkelijk geplaatst door systemdeveloper

Mwoah, wij hoeven eigenlijk nooit wat offline te halen of ip reputaties te herstellen. Klanten krijgen uiteraard meerdere malen het verzoek om hun sites up2date te houden (en opties genoeg om dat uit handen te geven eventueel) maar indien ze dat weigeren communiceren wij wel degelijk het 'speeltuin' verhaal. Het zal je verbazen hoeveel van die weigeraars dan opeens wel in staat zijn om even op het update linkje te klikken. Ik ga een shared hosting klant van die paar euro echt niet mijn omgeving met welwillende klanten laten verzieken. Sterker nog, ik ben ze liever kwijt dan rijk.

Misschien wel interessant hoe je dat 'speeltuin' verhaal brengt, zou je die tekst even op de PM naar mij kunnen zetten? Is namelijk teveel off-topic.
Omgeving laten verzieken door een paar euro klant moet je ook absoluut niet doen

Oorspronkelijk geplaatst door stefantriep

Misschien wel interessant hoe je dat 'speeltuin' verhaal brengt, zou je die tekst even op de PM naar mij kunnen zetten? Is namelijk teveel off-topic.
Omgeving laten verzieken door een paar euro klant moet je ook absoluut niet doen

idem

Bedankt voor je reactie,

Untangle.... zal iid op een wat zwaarde server draaien. Maar gaat ook meerde machines beheren,
Wil graag dat alle klanten voor beheer(DA) en SSH via een vast ip werken.

Cfs heb ik ook standaard er op staan.....
Cfs zou graag gekoppeld zien dat RBL check met door gevoerd wordt naar de andere DA machines.


Ben ook redwall aan het testen .....

Bedankt voor je reactie,

Ben het groten deels met je eens. En hanteer zelf ook een apparte server voor het onkruid

Patchman ken ik niet ga, ik uitzoeken. Maar de meeste klanten met websites van paar jaar oud heb ik verplicht updates van instaltron te gebruiken.

Maar ik heb ook een paar met maat werk. Met clamav heb ik bij hun oude risico php scripts gevonden. En verzocht te updaten.

O en John .. stuur me meteen even je bezorgadres op voor dat kratje bier (en je bier voorkeuren)

Oorspronkelijk geplaatst door Ramon Fincken

O en John .. stuur me meteen even je bezorgadres op voor dat kratje bier (en je bier voorkeuren)

Voorkeur is 5%+, merk maakt niet uit, ben niet zo kieskeurig

En adres... och, dat staat overal online. Ik ben op allebei de adressen regelmatig te vinden

Hehe