[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ



Bạn không hiểu câu trả lời của mình rồi.
Ví dụ bây giờ bạn thuê mình hay ai đó và bảo:"Ok, tao trả cho mày xxx triệu, mày bảo mật server cho tao đi, xong rồi đi", thì người ta cũng gắn vào server của bạn những cái mà thực ra, bạn cũng gắn được. Trừ phi bạn thuê security consultant thì không nói. Ý mình là khi working along with it, lúc đó sẽ khác (sẽ chú tâm và tận tâm hơn), còn ngồi xa nhìn vào và phán thì ai cũng có thể nói được.
Thay vì bạn gửi lên đây câu hỏi và mong chờ một vài best practices, ai đó có thể trả lời cho bạn thì họ cũng chung chung, thì bạn từ mình làm cũng được.
Google Linux security, securing Apache, Security php, securing mysql blah blah blah...kết quả có vô kể. Vấn đề là chọn ra, thử, và sử dụng cho hợp lí với môi trường của mình.
mod_security dùng trên Apache thôi (mình cũng chưa coi kĩ). Mà mình
không muốn dùng Apache làm reverse proxy. Thích Varnish hơn, dễ cấu hình
hơn. Với lại cache trong bộ nhớ của Apache có vẻ không ổn lắm mà cache
trong file tốt hơn (vài năm trước khi tìm giải pháp thì vậy, giờ chắc...
cũng vậy), mà nếu cache trong file thì thà dùng nginx làm RP cho khỏe.

Apache mình đưa ra chỉ là ví dụ, nếu bạn đã dùng Varnish làm reverse proxy rồi không cần apache nữa.
Dùng mod_security để lọc + chặn + log những dạng tấn công dựa vào pattern + signature. Nếu không dùng Apache + Mod_security ở mặt ngoài nhưng vẫn muốn sử dụng Mod_sec thì đường nhiên phải implement cho riêng từ con apache bên trong. Tất nhiên web application của bạn cũng làm tốt việc cản lọc những dạng tấn công thông thường (cái này mấy bạn dev làm, mình không biết).
Bản thân Varnish cũng có VCL lọc được một request rất tốt.
Hệ thống nó vậy đó. Chưa chạy chính thức nên không có load thực tế để
tối ưu. Chỉ làm security thôi. Cấu hình sơ sơ:

- Phần cứng: Dell PowerEdge R210, Xeon L3426, 16 GB RAM, 2x 2 TB SATA
RAID1 hard (H200).
- HĐH: Debian Squeeze + OpenVZ, các VE cũng chạy Debian Squeeze với
template minimal.
 - HN chỉ chạy ssh.
 - vm1 1 GB chạy Apache+PHP, vm2 2 GB chạy Apache+PHP, vm3 768 MB chạy
Apache (vm3 chỉ có nội dung static). Đều chạy Apache hết vì hơn 99%
request do RP hứng hết rồi, không vào tới Apache, cả nội dung động nhưng
người dùng không đăng nhập thì cũng cache ngay ở RP.
 - vm11 10 GB chạy MySQL (shared unix socket cho các vm chạy Apache),
vm12 2 GB chạy Varnish
- Mạng ở HN: forward cổng 80 đến vm12, forward một vài cổng đến ssh các
VM chạy Apache (vì mình cũng muốn trao quyền cập nhật nội dung trên vm1
cho người khác). Chuyện tắt ssh auth bằng password không cần thiết lắm
(có thể thay đổi nếu có bất thường trong log).

Như trên. 
Chuyện tắt ssh auth bằng password không cần thiết lắm
(có thể thay đổi nếu có bất thường trong log).
Lúc này đã muộn rồi.

2011/9/6 Nguyễn Hải Nam <[email protected]>
Le 06/09/2011 11:00, Hung Nguyen a écrit :
>
> Về phương diện DDOS thì trong trường hợp bình thường, lúc chưa bị tấn
> công, thì nghiên về optimization hơn là security. Vì bạn đã làm việc ở
> phía server side cũng khá lâu rồi nên chắc bạn đồng ý với mình. Mà
> optimize ra sao thì phụ thuộc vào website có content gì, bạn allocate
> bao nhiêu resource cho VE, quản lí VE thế nào, optimize hệ thống host
> node  + VE ra sao...blah blah nên bạn thuê luôn ông Ky Anh về ổng làm cho.

Việc optimisation thì có lẽ mình tự giải quyết được, làm từ từ... Nhờ
người làm miễn phí thì ngại (vì cái startup này là commercial), còn trả
tiền thì lại không có :p

> Bản thân Mod_Security xây dựng để đáp ứng nhu cầu của bạn còn gì?
> Còn nếu bạn muốn tìm giải pháp thay thế SELinux thì apparmor có support
> Debian nhưng yêu cầu vá nhân thì phải. Thật ra mình không biết xài cả
> apparmor và SELinux.

mod_security dùng trên Apache thôi (mình cũng chưa coi kĩ). Mà mình
không muốn dùng Apache làm reverse proxy. Thích Varnish hơn, dễ cấu hình
hơn. Với lại cache trong bộ nhớ của Apache có vẻ không ổn lắm mà cache
trong file tốt hơn (vài năm trước khi tìm giải pháp thì vậy, giờ chắc...
cũng vậy), mà nếu cache trong file thì thà dùng nginx làm RP cho khỏe.

> Mình không thể đưa ra cho bạn vài cái best practices nếu bạn không cho
> mình "đụng" vào hệ thống, mà ai cũng vậy thôi. Câu hỏi này không có lời
> đáp :-).
>

Hệ thống nó vậy đó. Chưa chạy chính thức nên không có load thực tế để
tối ưu. Chỉ làm security thôi. Cấu hình sơ sơ:

- Phần cứng: Dell PowerEdge R210, Xeon L3426, 16 GB RAM, 2x 2 TB SATA
RAID1 hard (H200).
- HĐH: Debian Squeeze + OpenVZ, các VE cũng chạy Debian Squeeze với
template minimal.
 - HN chỉ chạy ssh.
 - vm1 1 GB chạy Apache+PHP, vm2 2 GB chạy Apache+PHP, vm3 768 MB chạy
Apache (vm3 chỉ có nội dung static). Đều chạy Apache hết vì hơn 99%
request do RP hứng hết rồi, không vào tới Apache, cả nội dung động nhưng
người dùng không đăng nhập thì cũng cache ngay ở RP.
 - vm11 10 GB chạy MySQL (shared unix socket cho các vm chạy Apache),
vm12 2 GB chạy Varnish
- Mạng ở HN: forward cổng 80 đến vm12, forward một vài cổng đến ssh các
VM chạy Apache (vì mình cũng muốn trao quyền cập nhật nội dung trên vm1
cho người khác). Chuyện tắt ssh auth bằng password không cần thiết lắm
(có thể thay đổi nếu có bất thường trong log).

Bạn cần "đụng" chỗ nào nữa không ;-)

--
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/

--
You received this message because you're subscribed to the mailing list "Saigon GNU/Linux User Group".
List Address: [email protected]  || List Archive: http://groups.google.com/group/saigonlug
To unsubscribe from this group, send email to <[email protected]>



--
---
hungnv