[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZLe 06/09/2011 09:53, Hung Nguyen a écrit :
> 
> Dùng hardware để scale --> Fail. Dùng Hardware + một server thật (yếu)
> chia ra một mớ máy ảo và tính tới chuyện scale --> EPIC fail :-p.
> 

Vì cái máy mới này tốt hơn nên mới tính chuyện ảo hóa. Nó là 1 con Dell
Pro R210 với 16 GB RAM (website hiện tại đang chạy tốt chỉ với 4 GB RAM).

Mà chỉ tính là với hoàn cảnh như vậy, thì giải pháp bảo mật nào tốt nhất
thôi, không đòi hỏi gì nhiều.

> Khúc này có lẽ bạn nhầm lẫn. Nếu bị tấn công bão hoà đường truyền thì
> các giải pháp như CSF, mod_sec hay iptables giúp ích gì được mà ngày đầu
> đường truyền 100Mbps đầy, hôm sau thì giảm còn 70Mbps, sau đó dừng hẳn?
> Nó chỉ giảm trong trường hợp kẻ tấn công buồn quá giảm cường độ tấn công
> xuống thôi.
> 

Chính xác khi đó CSF, mod_security không làm gì cả, vì cái RP hứng trọn
toàn bộ traffic (kẻ tấn công chỉ tập trung homepage, sau đó khi chuyển
mục tiêu sang VNN cái botnet mới cải tiến dần).

Mục đích cái dẫn chứng này là để trả lời cho câu hỏi "đã từng bị tấn
công chưa", và với cấu hình èo èo vậy (X3220 RAM 4 GB, 1 cái HDD 250 GB
chưa chay RAID) mà cũng chỉ làm server chậm đi (load trung bình là 4-5)
chứ không chết hẳn. Việc giảm từ 100 xuống 70 xuống mất hẳn thì chính
xác là do kẻ tấn công mà, chi phí cho cuộc tấn công đó không nhỏ, mà tác
dụng không có gì.

> Mình suggest một cách là thay vì focus xây dựng các security layers ở
> mỗi VE, thì bạn xây dựng ngay trên host. Ví dụ dùng apache + mod_proxy
> làm load balancer bên ngoài sau đó đẩy traffic vào từng VE. Dựa vào đó,
> bạn có thể implement iptables + mod_sec ngay chính máy host, cản lọc tấn
> công ngay từ vòng ngoài. Phương pháp này đỡ tốn công hơn nhiều so với
> việc tìm giải pháp và xây dựng từ cái một cho từng VE.

Đó cũng chính là câu hỏi mình đặt ra: giải pháp nào để bảo mật cho HN
(Host Node) thay vì cài mod_security blabla cho từng VE. Nhưng khi bảo
mật cho HN, thì gặp các vấn đề với selinux (appmor thì hình như chỉ
Ubuntu), csf...

Mình muốn tìm hiểu vài cái best practices, khi kẹt thì thuê sys ad sau.
Cũng đang nghịch thử mà ;)

-- 
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/