[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ



Le 05/09/2011 16:40, Anh K. Huynh a écrit :
>> Câu hỏi là muốn có thêm 1 security layer cho HN thì cần công cụ gì.
>> Mục đích thì có 2 cái:
>> - Ngăn chặn việc tấn công mạng (DoS...),
> 
> Giảm thiểu thôi, không chặn hết được. Suggest: làm một Load balancer
> bằng hw cho tốt, khi cần scaling theo chiều ngang.
> 

Phần cứng chỉ giới hạn thôi, do đó chỉ chặn DoS hoặc là chặn DDoS nho
nhỏ, không có tham vọng chặn các botnet lớn. Do đó chỉ giới hạn duy nhất
trong cái Host Node này, làm được đến đâu thì đến.

>> - Ngăn chặn bọn sâu bọ tấn công vào ứng dụng Web.
> 
> Sâu bọ thường nằm bên trong. Có nằm ngoài nó cũng cố chui vào bên
> trong :D
> 

Có 1 cái firewall ở lớp ứng dụng thì vẫn tốt mà. Giảm được khá nhiều tài
nguyên vô ích. Để ý xem access log thì thấy bọn côn trùng này khá nhiều,
dù cái máy chủ vẫn trong vòng thử nghiệm (chỉ đang chạy 1 cái site nho
nhỏ, chưa chạy site chính). Mà côn trùng nhiều thì reverse proxy ở phía
trước không mấy tác dụng, nên Apache lãnh đủ.

Mình đang thắc mắc là thay vì cài mod_security cho từng VE thì có cách
nào tốt hơn, quản lí dễ hơn chăng.

>> ...
>> Cụ thể: HN đang có 1 VE chạy Varnish (forward port 80 từ HN sang VE
>> này), 1 VE chạy MySQL, 3 VE chạy Apache (có thể sẽ có thêm 1-2 cái
>> VE chạy Apache nữa).
> 
> Xưa giờ có bị vụ nào chưa? Do dùng OpenVZ bị hạn chế như vậy, liệu có
> thể thay bằng cái khác không (ví dụ Xen, Kvm) ?
> 

Do đang định chuyển server, cũng là lần đầu dùng ảo hóa nên chưa rõ ra
sao. Với xu thế hiện tại, hoàn cảnh như vậy (host vài cái website của
chính mình) thì OpenVZ vẫn là lựa chon hiệu quả nhất.

Trước đó thì chạy chung reverse proxy, web và sql trên cùng 1 máy chủ,
không ảo iếc gì hết, nhưng việc host chơi 1 vài website nhỏ nhỏ lại
không ổn lắm. Và về mặt quản lí tài nguyên cũng không hiệu quả. Có điều
là cái máy chủ cũ như vậy, với RAM chỉ 4 GB, mà vẫn chống chọi được đợt
DDoS hồi đầu năm (1 cái botnet 20K tấn công làm bão hòa đường truyền 100
Mbps liên tục gần 12h trong ngày đầu, giảm còn 70 Mbps ngày thứ hai, và
sau đó dừng hẳn, chuyển mục tiêu sang VietNamNet bằng 1 cái botnet khác
lớn hơn vài lần).

-- 
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/