<p>Добрый день коллеги!</p><p></p><p>Ищу админа для настройки сервера!</p><p></p>Настройка облачного сервера Ubuntu 22.04<p></p><p>Сайт весит примерно 1гб, база 15мб</p><p>Щас сайт и база развернуты без докера на одной виртуальной машине</p><h2>1. ? Безопасность доступа</h2><p>? Закрыть порт 22/tcp на edge-файрволе.</p><p>? Доступ к серверу обеспечить только через VPN (например, WireGuard или OpenVPN).</p><p>? SSH-доступ разрешить только по внутреннему IP через VPN-интерфейс.</p><h2>2. ? Сетевые порты (входящие)</h2><p>? Открыть на edge только:</p><p>? - 80/tcp — HTTP (если используется)</p><p>? - 443/tcp — HTTPS (обязательно)</p><p>? Остальные входящие порты закрыть как на edge, так и локально (iptables).</p><h2>3. ? Фильтрация трафика на сервере (iptables)</h2><p>? Входящие (INPUT):</p><p>? - Разрешить: 80/tcp, 443/tcp — веб-доступ, 22/tcp — только с интерфейса VPN, lo (loopback)</p><p>? - Остальные входящие соединения — DROP.</p><p>? Исходящие (OUTPUT):</p><p>? - Полный запрет прямых соединений в интернет.</p><p>? - Разрешить исходящий трафик только на IP шлюза-прокси, например 10.0.0.5.</p><p>? - Разрешить DNS (10.0.0.53) и NTP (10.0.0.2).</p><p>? - Всё остальное: DROP.</p><h2>4. ? Обновления, git, composer — через прокси-шлюз</h2><p>? На стороне сервера не должно быть прямого выхода в интернет.</p><p>? Обновления системы (apt), composer install, git pull и пр. должны идти через внутренний шлюз-прокси 10.0.0.5.</p><p>? Настроить переменные окружения:</p><p>? - http_proxy=<a href="http://10.0.0.5:3128">http://10.0.0.5:3128</a></p><p>? - https_proxy=<a href="http://10.0.0.5:3128">http://10.0.0.5:3128</a></p><h2>5. ?? Антивирус и защита</h2><p>? Установить ClamAV или Maldet — регулярное сканирование <i>.php, </i>.js, *.sh файлов.</p><p>? Установить rkhunter или chkrootkit — проверка на rootkits.</p><p>? Настроить автоматические проверки по cron + логирование.</p><h2>6. ?? База данных</h2><p>? Перенести базу данных на отдельную ВМ или в отдельный Docker-контейнер.</p><p>? БД не должна иметь выхода в интернет.</p><p>? Разрешить доступ к БД только с текущего Laravel-сервера по внутреннему IP.</p><p>? При необходимости — настроить сеть docker network с изоляцией.</p><h2>7. ? Документация (обязательно)</h2><p>? Создать документ SECURITY_<a href="http://SETUP.md">SETUP.md</a> с описанием:</p><p>? - Схема сети (VPN, edge, шлюз, Laravel, БД)</p><p>? - Все открытые порты на edge и локально</p><p>? - Все правила iptables</p><p>? - IP шлюза-прокси, DNS, NTP</p><p>? - Как временно открыть доступ в интернет (если нужно)</p><p>? - Конфигурация антивируса и cron-задач</p><p>? - Подключение Laravel к БД</p><p>? - Используемые VPN-данные (где хранятся конфиги)</p><p></p><p>Жду от вас примерные сроки и цену</p>
