kvirtu 315 Опубликовано: 2011-08-31 13:38:34 Share Опубликовано: 2011-08-31 13:38:34 Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ??? Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-08-31 13:45:31 Share Опубліковано: 2011-08-31 13:45:31 Что именно под ддосом ОС подразумевается? ICMP флуд что ли? Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному? Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-08-31 14:37:45 Автор Share Опубліковано: 2011-08-31 14:37:45 Что именно под ддосом ОС подразумевается? ICMP флуд что ли? Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному? Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа. По ДДОС интересует все, как же без свопа то ??? Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-08-31 14:47:48 Share Опубліковано: 2011-08-31 14:47:48 Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании. Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним. А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-08-31 14:53:51 Автор Share Опубліковано: 2011-08-31 14:53:51 Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании. Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним. А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше. Планирую ставить фрю , nginx - принимающий запросы и отдающий их апачу (апач нужен для софта), перекомпиляция ядра с НУЖНЫМИ настройками + ipfw. Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-08-31 16:09:15 Share Опубліковано: 2011-08-31 16:09:15 Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится... Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-08-31 16:38:27 Share Опубліковано: 2011-08-31 16:38:27 вопрос бредовый. все зависит от кривизны рук настраивающего. сетевые стеки примерно сравнялись уже, с точки зрения системы ограничения можно выставить одинаковые. Ссылка на сообщение Поделиться на других сайтах
ramsess 187 Опубліковано: 2011-08-31 16:47:07 Share Опубліковано: 2011-08-31 16:47:07 Единственная защита от DDoS это децентрализация и распределение ресурсов. В противном случае как здесь упомянули каналы просядут раньше чем сервера и пофиг что на них стоит, что бздя, что линукс, что винда. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-08-31 19:27:34 Автор Share Опубліковано: 2011-08-31 19:27:34 Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится... Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает. Ну например панель управления хостингом Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-09-01 09:00:59 Share Опубліковано: 2011-09-01 09:00:59 Вы уверены, что оно действительно не может жить без апача? Я в этом совсем не уверен Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-09-01 09:15:46 Автор Share Опубліковано: 2011-09-01 09:15:46 Вы уверены, что оно действительно не может жить без апача? Я в этом совсем не уверен DirectAdmin Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-09-01 09:32:21 Share Опубліковано: 2011-09-01 09:32:21 Ну к примеру как-то так. Ну или так. Было бы желание. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-09-01 11:07:26 Автор Share Опубліковано: 2011-09-01 11:07:26 Ну к примеру как-то так. Ну или так. Было бы желание. Спасибо, за ссылочки, есть ли необходимость защищать ДНС-сервер ? Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-09-01 11:16:49 Share Опубліковано: 2011-09-01 11:16:49 Мы у себя зарезали кол-во запросов с одного адреса из мира в единицу времени. Но скорее для перестраховки. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-09-01 11:17:55 Share Опубліковано: 2011-09-01 11:17:55 что вы подразумеваете под "защищать" ДНС сервер? если подразумевается уствновка всех обычных разумных настроек, то да. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-09-01 11:32:25 Автор Share Опубліковано: 2011-09-01 11:32:25 что вы подразумеваете под "защищать" ДНС сервер? если подразумевается уствновка всех обычных разумных настроек, то да. Установить и настроить fail2ban Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-09-01 11:42:51 Share Опубліковано: 2011-09-01 11:42:51 Установить и настроить fail2ban Ну и что вы ним анализировать в логах будете-то??? Какие запросы авторизации могут быть у днс сервера??????? Сделайте иптейблсом лимит новых соединений на заданный порт в единицу времени и все. Ну или бздевым файрволом. Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2011-09-01 13:11:43 Share Опубліковано: 2011-09-01 13:11:43 Спасибо, за ссылочки, есть ли необходимость защищать ДНС-сервер ? NS-ы нужно правильно настроить это решит 90% проблем. Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2011-09-01 13:20:43 Share Опубліковано: 2011-09-01 13:20:43 Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ??? DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее. Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения. Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-09-01 17:51:59 Автор Share Опубліковано: 2011-09-01 17:51:59 Спасибо, за ссылочки, есть ли необходимость защищать ДНС-сервер ? NS-ы нужно правильно настроить это решит 90% проблем. Ну ДНС настраивал, что к чему в принципе разбираюсь, но можно все же сцылочку как правильно настроить первичный и вторичный NS Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-09-01 17:53:27 Автор Share Опубліковано: 2011-09-01 17:53:27 Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ??? DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее. Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения. Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух. Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу) Ссылка на сообщение Поделиться на других сайтах
aoz1 2 Опубліковано: 2011-09-07 09:54:22 Share Опубліковано: 2011-09-07 09:54:22 Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу) Для дома для семьи, родственников и их друзей (сайты до 1000 посещений в день) ставь любой тазик, только сразу мозгов побольше на него любую хостинг панель. Хош платную, хош бесплатную. У меня для тех же целей стоит Plesk на центосе, уже лет пять (раскрутил спонсора). Там под сотню доменов (в основном джумла) с общим траффиком до пол терабайта в месяц. Все что допиливалось на предмет оптимизации по моему, это mysql. Ну дырки по безопасности затыкаю суосин и последняя тут на форуме была, ну еще там было. Какие DOS атаки? Накой "Я и моя собака" кому то нужны. Ну еще человечек решил драйвера с сайта отдавать, провел разьяснительную беседу повесил на ту папку nginx. PS и два камушка на процессоре. Когда червяки под user account залазят то 1 камень на 100% занимают. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас