[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ




Giảm thiểu thôi, không chặn hết được. Suggest: làm một Load balancer
bằng hw cho tốt, khi cần scaling theo chiều ngang.
Dùng hardware để scale --> Fail. Dùng Hardware + một server thật (yếu) chia ra một mớ máy ảo và tính tới chuyện scale --> EPIC fail :-p.
 Trước đó thì chạy chung reverse proxy, web và sql trên cùng 1 máy chủ,
không ảo iếc gì hết, nhưng việc host chơi 1 vài website nhỏ nhỏ lại
không ổn lắm. Và về mặt quản lí tài nguyên cũng không hiệu quả. Có điều
là cái máy chủ cũ như vậy, với RAM chỉ 4 GB, mà vẫn chống chọi được đợt
DDoS hồi đầu năm (1 cái botnet 20K tấn công làm bão hòa đường truyền 100
Mbps liên tục gần 12h trong ngày đầu, giảm còn 70 Mbps ngày thứ hai, và
sau đó dừng hẳn, chuyển mục tiêu sang VietNamNet bằng 1 cái botnet khác
lớn hơn vài lần).

Khúc này có lẽ bạn nhầm lẫn. Nếu bị tấn công bão hoà đường truyền thì các giải pháp như CSF, mod_sec hay iptables giúp ích gì được mà ngày đầu đường truyền 100Mbps đầy, hôm sau thì giảm còn 70Mbps, sau đó dừng hẳn? Nó chỉ giảm trong trường hợp kẻ tấn công buồn quá giảm cường độ tấn công xuống thôi.

Mình suggest một cách là thay vì focus xây dựng các security layers ở mỗi VE, thì bạn xây dựng ngay trên host. Ví dụ dùng apache + mod_proxy làm load balancer bên ngoài sau đó đẩy traffic vào từng VE. Dựa vào đó, bạn có thể implement iptables + mod_sec ngay chính máy host, cản lọc tấn công ngay từ vòng ngoài. Phương pháp này đỡ tốn công hơn nhiều so với việc tìm giải pháp và xây dựng từ cái một cho từng VE.

2011/9/5 Anh K. Huynh <[email protected]>
On Mon, 05 Sep 2011 10:54:34 +0200
Nguyễn Hải Nam <[email protected]> wrote:

> Le 05/09/2011 09:51, An NGUYEN a écrit :

> > Theo em thì câu hỏi này khá rộng và khó có thể trả lời thấu đáo
> > bằng một hay một vài email được. Anh Nam chỉ muốn cài thêm
> > security layer hay là muốn làm cụ thể những gì. "Security is a
> > process, not a product", cho nên mình cần phải xác định rõ mình
> > muốn bảo vệ cái gì rồi mới tiếp tục được.

Chua choa, dùng Email Sk trả lời nhóm ngon nha :P

> Câu hỏi là muốn có thêm 1 security layer cho HN thì cần công cụ gì.
> Mục đích thì có 2 cái:
> - Ngăn chặn việc tấn công mạng (DoS...),

Giảm thiểu thôi, không chặn hết được. Suggest: làm một Load balancer
bằng hw cho tốt, khi cần scaling theo chiều ngang.

> - Ngăn chặn bọn sâu bọ tấn công vào ứng dụng Web.

Sâu bọ thường nằm bên trong. Có nằm ngoài nó cũng cố chui vào bên
trong :D

> ...
> Cụ thể: HN đang có 1 VE chạy Varnish (forward port 80 từ HN sang VE
> này), 1 VE chạy MySQL, 3 VE chạy Apache (có thể sẽ có thêm 1-2 cái
> VE chạy Apache nữa).

Xưa giờ có bị vụ nào chưa? Do dùng OpenVZ bị hạn chế như vậy, liệu có
thể thay bằng cái khác không (ví dụ Xen, Kvm) ?


--
Anh Ky Huynh @ ICT
Registered Linux User #392115

--
You received this message because you're subscribed to the mailing list "Saigon GNU/Linux User Group".
List Address: sai[email protected]  || List Archive: http://groups.google.com/group/saigonlug
To unsubscribe from this group, send email to <[email protected]>



--
---
hungnv