[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ




Về phương diện DDOS thì trong trường hợp bình thường, lúc chưa bị tấn công, thì nghiên về optimization hơn là security. Vì bạn đã làm việc ở phía server side cũng khá lâu rồi nên chắc bạn đồng ý với mình. Mà optimize ra sao thì phụ thuộc vào website có content gì, bạn allocate bao nhiêu resource cho VE, quản lí VE thế nào, optimize hệ thống host node  + VE ra sao...blah blah nên bạn thuê luôn ông Ky Anh về ổng làm cho.
- Ngăn chặn bọn sâu bọ tấn công vào ứng dụng Web.
Bản thân Mod_Security xây dựng để đáp ứng nhu cầu của bạn còn gì?
Còn nếu bạn muốn tìm giải pháp thay thế SELinux thì apparmor có support Debian nhưng yêu cầu vá nhân thì phải. Thật ra mình không biết xài cả apparmor và SELinux.
Mình không thể đưa ra cho bạn vài cái best practices nếu bạn không cho mình "đụng" vào hệ thống, mà ai cũng vậy thôi. Câu hỏi này không có lời đáp :-).


2011/9/6 Nguyễn Hải Nam <[email protected]>
Le 06/09/2011 09:53, Hung Nguyen a écrit :
>
> Dùng hardware để scale --> Fail. Dùng Hardware + một server thật (yếu)
> chia ra một mớ máy ảo và tính tới chuyện scale --> EPIC fail :-p.
>

Vì cái máy mới này tốt hơn nên mới tính chuyện ảo hóa. Nó là 1 con Dell
Pro R210 với 16 GB RAM (website hiện tại đang chạy tốt chỉ với 4 GB RAM).

Mà chỉ tính là với hoàn cảnh như vậy, thì giải pháp bảo mật nào tốt nhất
thôi, không đòi hỏi gì nhiều.

> Khúc này có lẽ bạn nhầm lẫn. Nếu bị tấn công bão hoà đường truyền thì
> các giải pháp như CSF, mod_sec hay iptables giúp ích gì được mà ngày đầu
> đường truyền 100Mbps đầy, hôm sau thì giảm còn 70Mbps, sau đó dừng hẳn?
> Nó chỉ giảm trong trường hợp kẻ tấn công buồn quá giảm cường độ tấn công
> xuống thôi.
>

Chính xác khi đó CSF, mod_security không làm gì cả, vì cái RP hứng trọn
toàn bộ traffic (kẻ tấn công chỉ tập trung homepage, sau đó khi chuyển
mục tiêu sang VNN cái botnet mới cải tiến dần).

Mục đích cái dẫn chứng này là để trả lời cho câu hỏi "đã từng bị tấn
công chưa", và với cấu hình èo èo vậy (X3220 RAM 4 GB, 1 cái HDD 250 GB
chưa chay RAID) mà cũng chỉ làm server chậm đi (load trung bình là 4-5)
chứ không chết hẳn. Việc giảm từ 100 xuống 70 xuống mất hẳn thì chính
xác là do kẻ tấn công mà, chi phí cho cuộc tấn công đó không nhỏ, mà tác
dụng không có gì.

> Mình suggest một cách là thay vì focus xây dựng các security layers ở
> mỗi VE, thì bạn xây dựng ngay trên host. Ví dụ dùng apache + mod_proxy
> làm load balancer bên ngoài sau đó đẩy traffic vào từng VE. Dựa vào đó,
> bạn có thể implement iptables + mod_sec ngay chính máy host, cản lọc tấn
> công ngay từ vòng ngoài. Phương pháp này đỡ tốn công hơn nhiều so với
> việc tìm giải pháp và xây dựng từ cái một cho từng VE.

Đó cũng chính là câu hỏi mình đặt ra: giải pháp nào để bảo mật cho HN
(Host Node) thay vì cài mod_security blabla cho từng VE. Nhưng khi bảo
mật cho HN, thì gặp các vấn đề với selinux (appmor thì hình như chỉ
Ubuntu), csf...

Mình muốn tìm hiểu vài cái best practices, khi kẹt thì thuê sys ad sau.
Cũng đang nghịch thử mà ;)

--
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/

--
You received this message because you're subscribed to the mailing list "Saigon GNU/Linux User Group".
List Address: [email protected]  || List Archive: http://groups.google.com/group/saigonlug
To unsubscribe from this group, send email to <[email protected]>



--
---
hungnv