Ebbene si, accade anche nei migliori stack. Ieri sera, dopo aver giocherellato un po troppo con i plugins e aggiornato dei pacchetti ( prevalentemente bugfix ), devo aver sminchiato qualcosa. Si lo so, avrei dovuto testare queste cose in anticipo su un altro ambiente, ma minifisto non e’ certo il Financial Times. Entrando nel merito del problema: non credo fosse assolutamente legato ai plugins in se, in quanto dopo una veloce occhiata ai logs ho notato in syslogs php-fpm andava in segfault continuamente e nginx mi spiattellava in faccia di tanto in tanto un bello status code 502 ( bad gateway ). Sicche’ ne ho approfittato per fare un bel dist upgrade all’ ultima LTS disponibile per ubuntu. Avendo una snapshot ( sana ) della  virtual machine,  opportunamente creata tramite cron, ho quindi lanciato il comando e aspettato.

Una volta finito, un reboot, pulizia dei log ( dopo salvataggio degli stessi ), e qualche tocco qua e la per nginx in quanto il nuovo supporta HTTP/2 che volevo gia’ comunque implementare. Tutto e’ andato per il meglio, ho rimosso alcuni plugin comunque sospetti, ed ho riabilitato il monitoring ( che avevo in precedenza disabilitato per evitare un flood di ridondanti notifiche ).  Altra cosa, ho ripulito la cache di cloudflare giusto per completezza.

Tutto e’ andato quindi per il meglio, ora Minifisto e’ fully http/2 compliant.

Proxima estacion modsecurity e fastcgi_caching ( ngx_cache_purge e Nginx Helper plug-in inclusi )

Ho scelto 3 locations e notifica email al gruppo di minifisto. Ci sono anche grafici da consultare come questo

Insomma, sembra promettere bene ! E speriamo che non ci notifichi mai di un outage !

Odio fare presentazioni, grafici, elaborare immagini e quant’ altro. Non serve certo un genio a capirlo, immagine più brutta non potevo farla, ma oh c’ è poco da farci. Come ogni buon sysdamin trascuro l’ estetica ma non tralascio i contenuti. Passiamo quindi a parlare, molto brevemente, del setup di Minifisto. Senza fornire troppi dettagli a black hats e white hats bramanti ti entrare nella roccaforte, ecco qua una lista di tecnologie, ad alto livello, che abbiamo usato per tirare su questo blog. Tralscio wordpress in quanto e’ abbastanza chiaro.

• Openstack è l’ infrastuttura sulla quale gira la nostra istanza ( vm per intendersi )
• Ubuntu LTS il nostro sistema operativo. Accorgimenti di base sono stati presi per proteggere il sistema operativo al livello di autenticazione. Vedi firewall, apparmor, ssh con autenticazione solo via public key, e via discorrendo.
• Nginx il server web. Anche questo opportunamente hardened: server tokens, xss, error pages, ssl ciphers, ssl protocols, ssl_dhparam  etc…
• Mysql come database. Avevo pensato all’ encryption del database ma mi sembrava eccessivo
• Interamente in HTTPS. Nella fattispecie i protocolli accettati sono tutti TLS based
• Let’s encrypt come CA . Questo va rinnovato ogni 90 giorni, un cronjob si occuperà proprio di questo
• Observium come basic monitoring ed eventualmente alerting
• Pfsense il nostro firwall casalingo. L’ istanza gira su di una dmz, ed ha accesso in uscita solo verso alcuni hosts e porte opportunamente configurate. Fidarsi è bene, non fidarsi è meglio.
• Cloudflare free subscription come cdn. E’ ovvio che è pressochè inutile nel nostro caso in quanto il sito sarà prevalentemente visitato da ip Italiani, però ero interessato a usare questa soluzione per guadagnare un pò di velocità nel caricamento delle pagine.
• Google Analytics per le statistiche sul sito, che si integra alla perfezione con worpress e cloudflare
• Pingdom per controllare i tempi di riposta e di caricamento delle pagine web
• Google authenticator per proteggere il file login.php di wordpress

TODO :

1. nginx con modsecurity come web application firewall ( non previsto dalla free subscription di cloudflare )
2. IPS/IDS così su due piedi avevo pensato a snort per quanto riguarda l’ ispezione a livello rete
3. caching al momento non necessario sopratutto visto che abbiamo cloudflare, ma dovessimo cambiare idea sicuramente un varnish sarebbe da mettere

Forse ho un pochino esagerato su qualche aspetto, ma hostando in casa volevo dormire sonni tranquilli. E sopratutto mi prendeva bene.