[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ



Le 06/09/2011 11:00, Hung Nguyen a écrit :
> 
> Về phương diện DDOS thì trong trường hợp bình thường, lúc chưa bị tấn
> công, thì nghiên về optimization hơn là security. Vì bạn đã làm việc ở
> phía server side cũng khá lâu rồi nên chắc bạn đồng ý với mình. Mà
> optimize ra sao thì phụ thuộc vào website có content gì, bạn allocate
> bao nhiêu resource cho VE, quản lí VE thế nào, optimize hệ thống host
> node  + VE ra sao...blah blah nên bạn thuê luôn ông Ky Anh về ổng làm cho.

Việc optimisation thì có lẽ mình tự giải quyết được, làm từ từ... Nhờ
người làm miễn phí thì ngại (vì cái startup này là commercial), còn trả
tiền thì lại không có :p

> Bản thân Mod_Security xây dựng để đáp ứng nhu cầu của bạn còn gì?
> Còn nếu bạn muốn tìm giải pháp thay thế SELinux thì apparmor có support
> Debian nhưng yêu cầu vá nhân thì phải. Thật ra mình không biết xài cả
> apparmor và SELinux.

mod_security dùng trên Apache thôi (mình cũng chưa coi kĩ). Mà mình
không muốn dùng Apache làm reverse proxy. Thích Varnish hơn, dễ cấu hình
hơn. Với lại cache trong bộ nhớ của Apache có vẻ không ổn lắm mà cache
trong file tốt hơn (vài năm trước khi tìm giải pháp thì vậy, giờ chắc...
cũng vậy), mà nếu cache trong file thì thà dùng nginx làm RP cho khỏe.

> Mình không thể đưa ra cho bạn vài cái best practices nếu bạn không cho
> mình "đụng" vào hệ thống, mà ai cũng vậy thôi. Câu hỏi này không có lời
> đáp :-).
> 

Hệ thống nó vậy đó. Chưa chạy chính thức nên không có load thực tế để
tối ưu. Chỉ làm security thôi. Cấu hình sơ sơ:

- Phần cứng: Dell PowerEdge R210, Xeon L3426, 16 GB RAM, 2x 2 TB SATA
RAID1 hard (H200).
- HĐH: Debian Squeeze + OpenVZ, các VE cũng chạy Debian Squeeze với
template minimal.
  - HN chỉ chạy ssh.
  - vm1 1 GB chạy Apache+PHP, vm2 2 GB chạy Apache+PHP, vm3 768 MB chạy
Apache (vm3 chỉ có nội dung static). Đều chạy Apache hết vì hơn 99%
request do RP hứng hết rồi, không vào tới Apache, cả nội dung động nhưng
người dùng không đăng nhập thì cũng cache ngay ở RP.
  - vm11 10 GB chạy MySQL (shared unix socket cho các vm chạy Apache),
vm12 2 GB chạy Varnish
- Mạng ở HN: forward cổng 80 đến vm12, forward một vài cổng đến ssh các
VM chạy Apache (vì mình cũng muốn trao quyền cập nhật nội dung trên vm1
cho người khác). Chuyện tắt ssh auth bằng password không cần thiết lắm
(có thể thay đổi nếu có bất thường trong log).

Bạn cần "đụng" chỗ nào nữa không ;-)

-- 
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/