Cloudflare para manejar los DNS y varias cosas más

Después de migrar el sitio de Linode, tuve que buscar donde hostear los DNS, ya que ChicagoVPN no proveía ese servicio. Fue la excusa que necesitaba para probar Cloudflare que además de DNS management tiene muchas otras funcionalidades interesantes como ser protección contra ataques DDoS, CDN, Firewall, Analytics, SSL y varias más. Pero empecemos por el comienzo.

CloudStats, para monitorear los servers (y hacer backups)

Una de las cosas que extrañaba de Linode era Longview. Y si bien actualmente puedo monitorear el uptime de un server con UptimeRobot, mi idea era buscar algo un poco más completo (y que de paso me tire algún alerta si CPU o memoria llegan a niveles de uso "criticos").

Buscando encontré CloudStats, que tiene una versión gratuita y una versión premium muy accesible ($5 al mes por server) y encima es muy simple conseguir un upgrade a premium gratis, simplemente hay que hacer una review en facebook o invitar a 5 amigos a su página.

Así que veamos que podemos hacer con esta herramienta.

Configurar postfix para enviar emails con una cuenta SMTP externa

Releyendo el artículo sobre configurar logwatch noté un detalle importante: falta la configuración de postfix para que el mail de logwatch llegue a nuestra casilla.

En este caso voy a usar postfix conectado a una cuenta SMTP externa que envíe los emails (hice las pruebas con mailgun y sendgrid, ambas funcionaron OK).

Vamos con la configuración.

Nuevo server, nueva virtualización

UPDATE: No fue buena mi experiencia con ChicagoVPS, por lo que volví a las fuentes y ahora estoy hosteando el sitio en Vultr.

Navegando entre las ofertas de black friday de LowEndBox (muy recomendado si necesitan contratar servers baratos), encontré una muy buena oferta para ChicagoVPS, empresa de la cual tengo buenas referencias, por lo que decidí aprovecharla y contratar el server donde ahora está hosteado el sitio, para ir probando la performance. Igual aún mantengo otros sitios en Linode que, como comenté hace un tiempo, es una muy buena opción para servers de 5 USD.

Después del salto comento los desafíos que encontré al migrar el server.

Uncomplicated Firewall para protejer nuestro server

Linux trae una gran herramienta para prevenir accesos no deseados: iptables. El problema con iptables es que no es tan sencilla de configurar (alguna vez me dejé sin acceso a mi propio server, jeje).

UPDATE: Certificado SSL con Let's Encrypt

En la entrada sobre como instalar el certificado SSL con Let's Encrypt usaba la versión del certbot del repo de ubuntu. Ahora hay una versión más reciente disponible, su instalación es simple y tiene algunas ventajas que nos van a ser útiles.

Hay un par de pasos extras a realizar, pero nada muy complejo. Vamos a verlo:

Seguridad para conexión SSH

La manera más usual para conectarnos a un servidor Linux es usando ssh. Esto lo sabemos nosotros y también algún usuario malicioso. De hecho cuando recibo el email de logwatch encuentro cosas como esta:

sshd:
    Authentication Failures:
       root (58.218.198.151): 5245 Time(s)
       root (116.31.116.28): 2060 Time(s)
       root (59.45.175.67): 360 Time(s)
       root (59.45.175.62): 274 Time(s)
       root (221.194.47.252): 237 Time(s)
       root (121.18.238.123): 226 Time(s)
       root (121.18.238.119): 192 Time(s)
       root (59.45.175.56): 186 Time(s)
       root (221.194.44.240): 153 Time(s)
       root (59.45.175.88): 141 Time(s)
       root (59.45.175.66): 135 Time(s)

Como ven, muchos intentos de ingresar al server, por lo que siempre es mejor agregarle una capa extra de seguridad a nuestro acceso.