FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Ännu säkrare servrar (ModSecurity)

Som ni säkert vet så arbetar vi väldigt aktivt på FS Data för att erbjuda våra kunder så snabba, säkra och stabila tjänster som möjligt. Vi har t ex en av branschens bästa brandväggslösningar, vi kontrollerar våra kunders hemsidor efter virus/skadlig kod, vi har ordentliga servicefönster varje månad osv, osv.

Vi tar det här med säkerhet på högsta allvar.

Nu har vi tagit nästa steg och installerat ett nytt säkerhetstillägg på alla våra Linuxbaserade webbservrar (för alla webbhotellskunder och serverkunder med drifttjänst). Säkerhetstillägget heter ModSecurity, det är baserat på öppen källkod och har utvecklats aktivt under flera års tid (det är stabilt och säkert).

Vad är ModSecurity?

ModSecurityModSecurity är ett tillägg till våra webbservrar (Apache) som upptäcker och förhindrar angrepp mot våra kunders hemsidor, baserat på olika listor över kända säkerhetshål. Det är ett skydd mot allt från SQL injection och cross-site scripting (XSS) till sårbarheter i lösningar som WordPress, Joomla, Drupal osv.

FS Data kör en kombination av flera säkerhetslistor, med både den allmänt tillgängliga listan (Core Rules) hos ModSecurity samt kommersiella listor (Commercial Rules) som tillhandahålls av Trustwave Spiderlabs (ännu bättre/mer effektiva). Listorna anpassas efter våra kunders behov och uppdateras fortlöpande för att täcka nya säkerhetshål.

Hur bra fungerar ModSecurity?

Vi har inledningsvis, sedan några veckor tillbaka, kört ModSecurity i ett analysläge. Detta för att kunna anpassa tillägget efter våra kunders hemsidor. Vi har under denna tid även gjort en djupare analys av trafiken mot våra servrar och sett att våra kunder är utsatta för 100 000-tals attacker varje dygn (som ModSecurity skyddar mot).

Vi har sedan tidigare ett väldigt bra skydd mot vissa former av attacker via våra brandväggar (de skyddar likaså våra kunder mot en stor del av den farliga trafiken). Med ModSecurity har vi dock ett skydd mot en form av attacker som vår brandväggslösning inte hanterar.

ModSecurity är ett utmärkt komplement, ytterligare ett lager av säkerhet för våra kunder.

När kör vi ModSecurity skarpt?

Vi har denna vecka börjat aktivera ModSecurity i skarpt läge för ett antal webbservrar hos oss. När ModSecurity aktiveras för en server så har våra drifttekniker extra koll på denna server och åtgärdar eventuella fel (felaktigt klassificerad farlig trafik) som de hittar (och får rapporter om).

Därefter aktiveras ModSecurity för ytterligare servrar, till dess att det körs i skarpt läge överallt hos oss. Vi räknar med att vara helt klara med detta inom de närmaste veckorna.

Behöver man som kund göra något särskilt med ModSecurity?

I de flesta fall, nej. Merparten av våra kunder kommer inte ens märka att deras hemsidor har blivit avsevärt mycket säkrare. Om man dock upptäcker att t ex någon funktion på en hemsida inte fungerar som vanligt så bör man meddela vår kundtjänst om detta.

Våra tekniker arbetar aktivt med ModSecurity just nu och vi har möjlighet att lösa eventuella fel som uppstår i samband med detta väldigt snabbt.

Om du har några frågor om ModSecurity, kontakta då vår kundtjänst eller lämna en kommentar här nedan.

Snabbare hemsidor med komprimering

Under servicefönstret natten mellan 3-4/12 genomfördes ett flertal uppgraderingar och förbättringar i vår tekniska miljö. Vi berättade t ex igår om hur alla våra webbhotellskunder nu enkelt kan ansluta säkert till sin server hos oss.

En annan uppdatering, som vi vill lyfta fram lite extra, är den nya serverkomprimeringen.

På vanlig svenska så innebär komprimering att filer minskas i storlek, för att snabbare kunna laddas ned. Jämför det t ex med en zip-fil som är komprimerad. Snabbare hemsidor är väldigt bra, både för besökare och sökmotorer.

Linuxbaserade webbservrar hos oss har nu följande aktiverat (som standard):

Apache-modulen mod_deflate komprimerar nu allt statiskt material (HTML, CSS, JS osv) mellan server och besökare. Det är en väldigt effektiv komprimering, som kan minska storleken på dessa filer med uppåt 70 %. För att stänga av denna komprimering, lägg in följande rad i en .htaccess-fil:

SetEnv no-gzip 1

PHP-modulen zlib.output_compression utför motsvarande komprimering av PHP-filer. Filerna komprimeras med gzip, vilket alla moderna webbläsare hanterar utan problem. Om man vill stänga av denna komprimering så kan man lägga in följande rad i en .htaccess-fil:

php_flag zlib.output_compression Off

Detta kan vara en bra idé om man redan komprimerar sin hemsida på egen hand, t ex via WordPress-tillägg eller liknande.

Uppdatering 2014-05-21: Ytterligare optimeringar har skett i vår servermiljö för att serverkomprimeringen inte ska påverka webbplatser med WordPress. Man behöver således inte längre lägga in ovanstående kod om man komprimerar sin hemsida via WordPress-tillägg.

Den nya serverkomprimeringen har testats framgångsrikt av våra tekniker under en lång tid innan detta servicefönster. De fann att komprimeringen gav riktigt bra resultat och hastighetsförbättringar, utan större fel. Merparten av våra kunder bör kunna notera en skillnad i hastigheten på deras hemsidor med denna serverkomprimering.

Om ni upplever något problem med er hemsida, som ni tror kan bero på den här uppdateringen, inaktivera då zlib.output_compression enligt ovan. Om problem kvarstår, kontakta vår kundtjänst för snabb hjälp med detta.

Lämna gärna en kommentar om denna uppdatering här nedan.

Säkrare inloggning mot våra servrar

FS Data är ett säkert webbhotellUnder servicefönstret i december (den 3/12 från kl. 23:00) kommer vi bl a att uppgradera FTP-mjukvaran för våra webbhotellskunder (samt kunder med en server med drifttjänst). Det är en säkerhetsuppgradering, som kan vara märkbar och vi vill informera lite extra om detta.

Det som främst sker nu är att vi inför stöd för FTPS (FTP över SSL/TLS). FTPS är en metod för överföring av filer via en säker anslutning. Vi erbjuder sedan tidigare stöd för vanlig FTP och SFTP (FTP över SSH).

När man överför filer (t ex till sin hemsida) via vanlig FTP så sker överföringen i klartext. Det innebär att vem som helst, med tillgång till din datatrafik (t ex på ett öppet trådlöst nätverk), kan se vad som laddas upp/ner och de användaruppgifter som används. FTP är väldigt, väldigt osäkert.

Vi rekommenderar alltid att man använder SFTP för säkra filöverföringar. Med det har historiskt sett krävt att man som kund aktiverar SSH-inloggning via vår kontrollpanel och ansluter via alternativ adress/port i sitt FTP-program (detta ändras nu).

Med uppgraderingen av FTP-mjukvaran under vårt servicefönster kommer detta ske:

– SFTP kan användas direkt utan aktivering/ändringar i kontrollpanel/FTP-program.
– FTPS får vi nu fullt stöd för (explicit via SSL/TLS), utan aktivering/ändringar.
– Även SCP och RSYNC (över SSH) fungerar omedelbart.

Det enda man som kund behöver göra, efter detta servicefönster, för att överföra filer säkert till våra servrar är att ändra anslutningsmetod i sitt FTP-program. Byt från FTP till SFTP eller FTPS. Vad man väljer av SFTP eller FTPS spelar mindre roll, så länge man inte använder FTP.

Om man använder SFTP/SSH/SCP/RSYNC hos oss sedan tidigare, notera då följande:

– Under servicefönstret kommer alla SSH-nycklar att ersättas av mer säkra nycklar (2048-bitar).
– Om nyckelvarning uppstår i din klient, ta då bort den tidigare nyckeln och ersätt med den nya.

Man kommer fortsatt kunna välja login-skal/shell (bash, tcsh, zsh och ksh) via vår kontrollpanel, under ”Ditt konto” > ”Login-skal”. Alternativet ”Inget skal – SSH inaktiverat” är fortfarande standard, men under ytan har detta alternativ ändrats för att möjliggöra FTPS/SCP/RSYNC.

Lämna gärna en kommentar här nedan om du har några frågor om detta.

Full fart framåt med Apache 2

Som vi berättade förra veckan så håller vi just nu på att uppdatera Apache på våra Linuxbaserade webbservrar, från version 1.3.37 till version 2.2.25. Sedan dess har våra tekniker uppdaterat 42 st servrar för våra webbhotellskunder och våra serverkunder med drifttjänst.

Uppdateringarna av Apache har skett nattetid, för att minimera påverkan på våra kunders tjänster. Varje uppdatering har tagit mindre än en minut att genomföra och våra tekniker har haft ordentliga rutiner för att kontrollera varje server. Inför varje serveruppdatering har information även lagts ut på vår driftstatus.

Överlag så har uppdateringarna gått väldigt, väldigt bra.

Apache webbserverUnder den senaste uppdateringen, som berörde över 20 st servrar, så var det bara 4-5 kunder som upptäckte fel på sina hemsidor. Dessa fel åtgärdade våra tekniker snabbt när kunderna kontaktade vår kundtjänst.

När fel har uppstått vid uppdateringarna så har det berott på att man har en/flera .htaccess-filer på sin webbplats, innehållande direktiv som Apache 2 inte kan hantera. Där märks bl a att ”ErrorDocument” bara tar två parametrar med Apache 2 (istället för tre parametrar med Apache 1) samt att vissa radbrytningar har varit felaktiga i .htaccess.

Oavsett vad så kan vi lösa sådana här fel snabbt om man kontaktar vår kundtjänst.

Som tidigare förklarat så kör vi en sk. ”rullande uppdatering” (se vårt tidigare inlägg för förklaring). Vi räknar med att vara helt klara med de sista serveruppdateringarna till natten mellan tisdag och onsdag nästa vecka (5-6/11).

Därefter är det full fart framåt med Apache 2 för alla våra webbhotellskunder och serverkunder med drifttjänst.

Uppdaterat 4/11 2013: Efter en sista uppdatering igår kväll/natt så kör vi nu Apache 2 på alla servrar.

Apache 1.3.37 ut, Apache 2.2.25 in

FS Data satsar helhjärtat på att erbjuda så snabba, säkra och uppdaterade tjänster som möjligt. Med våra regelbundna servicefönster uppdaterar och introducerar vi ständigt nya versionerna av olika programvaror. Vi är ofta först ut i Sverige (och ibland även världen) att erbjuda stöd för olika funktioner.

Apache webbserverDetta är något som uppskattas väldigt, både av våra kunder och av våra tekniker.

Med detta i åtanke så har vår nuvarande version av Apache (programvaran för våra webbservrar) länge varit en nagel i ögat på oss. Vi kör nämligen Apache 1.3.37 på våra Linuxbaserade webbservrar.

Den version av Apache 1.3.37 som vi kör har (förutom världens bästa versionsnummer) anpassats väldigt specifikt för våra tjänster och kunder. Den innehåller utökade säkerhetsfunktioner och möjligheter som en vanlig version av Apache inte kan erbjuda. Det är en väldigt FS Data-specifik version av Apache.

Men det är fortfarande en rätt gammal version och våra tekniker har därför, under en längre tid, arbetat med att anpassa Apache 2.2 på motsvarande sätt för våra tjänster och kunder. Efter att ha testat, utvärderat och genomfört ett flertal uppdateringar i vår labbmiljö så är vi nu redo att helt ta steget över till Apache 2.2.

– När kommer vi uppdatera till Apache 2.2?

Vi kommer fr o m nästa vecka och via ”rullande uppdateringar” att ersätta Apache 1.3.37 med Apache 2.2.25 på våra Linuxbaserade webbservrar (för webbhotellskunder och serverkunder med drifttjänst).

Rullande uppdateringar innebär att vi uppdaterar våra webbservrar successivt. Varje server kontrolleras innan uppdatering, mindre justeringar utförs om nödvändigt och så sker själva uppdateringen. Själva uppdateringen tar mindre än en minut och vi kommer lägga ut information på vår driftstatus för varje server som uppdateras.

– Vad innebär uppdateringen till Apache 2.2 för er som kund?

– En prestandaförbättring (läs: få en snabbare hemsida). Vi kommer presentera mer exakt underlag/benchmarktester här framöver, men det finns underlag på nätet om förbättringar mellan 50 – 150 %.

– Bättre tillgänglighet. Vi kommer inte längre behöva starta om Apache på samma sätt som tidigare för att få in förändringar/nya domäner på våra webbservrar.

– Snabbare ompekningar/förändringar. Apache 2.2 hanterar inpekade domännamn smartare, så man kommer inte behöva vänta lika länge som idag vid tillägg av fler domännamn.

– Stöd för Cloudflare (och liknande tjänster). En av de mest efterfrågade funktionerna hos våra kunder, kommer fungera direkt med Apache 2.2. Mer om Cloudflare kommer här i bloggen framöver.

– Kan något sluta fungera vid uppdateringen till Apache 2.2?

Våra tekniker har har testat denna uppdatering med ett stort antal olika färdiga hemsidelösningar (WordPress, Joomla, Drupal osv) samt kontrollerat olika specifika funktioner som skiljer sig mellan Apache 1 och Apache 2 (mod_gzip som vissa kunder kör via .htaccess ersätts t ex av mod_deflate, så vi skriver om .htaccess för berörda kunder).

Trots detta så kan fel ändå komma att uppstå.

Våra tekniker är mycket väl insatta i uppdateringen och kommer att kunna hjälpa till om något fel uppstår. Om ni upptäcker fel med er hemsida den närmaste tiden, som inte har existerat tidigare, så kan ni kontakta vår kundtjänst för snabb hjälp.

Målsättningen är att allt ska fungera, så att denna uppdatering blir en märkbar förbättring för våra kunder.

Om ni har några frågor om denna uppdateringar, lämna då gärna en kommentar här nedan. Detta gäller generella frågor, för specifika ärenden rekommenderas vår kundtjänst.