[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ



Le 05/09/2011 09:51, An NGUYEN a écrit :
> 2011/9/1 Hai-Nam Nguyen <[email protected]>:
>> Chào mọi người,
>> 
>> Mình đang có 1 cái máy chủ dùng OpenVZ, trên đó có 5-6 cái VE chạy
>> Apache, MySQL. Giờ muốn bảo mật cho nó, nhưng tìm hiểu thì họ kêu
>> không được bật selinux, còn csf thì cũng được nhưng khá... cà chớn
>> (phải cấu hình lại iptables các kiểu, không rõ lắm).
>> 
>> Có giải pháp nào không nhỉ? HN dùng Squeeze 64 bit ext4 RAID1
>> (hard)
>> 
> 
> Xin chào,
> 
> Theo em thì câu hỏi này khá rộng và khó có thể trả lời thấu đáo bằng 
> một hay một vài email được. Anh Nam chỉ muốn cài thêm security layer 
> hay là muốn làm cụ thể những gì. "Security is a process, not a 
> product", cho nên mình cần phải xác định rõ mình muốn bảo vệ cái gì 
> rồi mới tiếp tục được.
> 
> Thân.
> 

Câu hỏi là muốn có thêm 1 security layer cho HN thì cần công cụ gì. Mục
đích thì có 2 cái:
- Ngăn chặn việc tấn công mạng (DoS...),
- Ngăn chặn bọn sâu bọ tấn công vào ứng dụng Web.

Cả cái server này là do mình khai thác và hoàn toàn làm chủ. Bình thường
nếu không ảo hóa thì dùng bộ ba selinux, csf và mod_security (Apache) là
làm được khối việc. Giờ selinux thì OpenVZ kêu tắt đi, CSF thì không
tương thích lắm (tuy nhiên nếu ai có kinh nghiệm, đã cài và hoạt động
tốt thì mình vẫn cài thôi, mình cần có ai đó xác nhận :P). Mod_security
thì đang thắc mắc là có thể làm ở ngay reverse proxy (dùng Varnish,
trong 1 cái VE độc lập) được không.

Cụ thể: HN đang có 1 VE chạy Varnish (forward port 80 từ HN sang VE
này), 1 VE chạy MySQL, 3 VE chạy Apache (có thể sẽ có thêm 1-2 cái VE
chạy Apache nữa).

-- 
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/