[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [saigonlug] Bảo mật cho OpenVZ



Cảm ơn bạn, giờ đã hiểu. Thực ra Google thì chỉ ra các thông tin bề nổi
thôi, vài cái blog nói này nói kia, nhưng thiếu sự trao đổi 2 chiều.

Tóm lại câu trả lời của bạn là không có công cụ nào làm việc này
out-of-the-box cả. Lúc bắt đầu hỏi, thì mục đích của mình là muốn biết
các nhà cung cấp VPS làm gì trước tiên với server của họ trước khi tạo
các VPS cho khách hàng thuê. Chẳng hạn: khi VPS không có IP riêng, mà
chạy web thì forward ở Varnish, VCL có thể tham khảo ở url http://xyz gì
đó...

Hình như mọi người chú trong trong môi trường doanh nghiệp hơn, và làm
rất khác nhau trong mỗi trường hợp.

Le 06/09/2011 12:47, Hung Nguyen a écrit :
> Bạn không hiểu câu trả lời của mình rồi.
> Ví dụ bây giờ bạn thuê mình hay ai đó và bảo:"Ok, tao trả cho mày xxx
> triệu, mày bảo mật server cho tao đi, xong rồi đi", thì người ta cũng
> gắn vào server của bạn những cái mà thực ra, bạn cũng gắn được. Trừ phi
> bạn thuê security consultant thì không nói. Ý mình là khi working along
> with it, lúc đó sẽ khác (sẽ chú tâm và tận tâm hơn), còn ngồi xa nhìn
> vào và phán thì ai cũng có thể nói được.
> Thay vì bạn gửi lên đây câu hỏi và mong chờ một vài best practices, ai
> đó có thể trả lời cho bạn thì họ cũng chung chung, thì bạn từ mình làm
> cũng được.
> Google Linux security, securing Apache, Security php, securing mysql
> blah blah blah...kết quả có vô kể. Vấn đề là chọn ra, thử, và sử dụng
> cho hợp lí với môi trường của mình.
> 
>     mod_security dùng trên Apache thôi (mình cũng chưa coi kĩ). Mà mình
>     không muốn dùng Apache làm reverse proxy. Thích Varnish hơn, dễ cấu hình
>     hơn. Với lại cache trong bộ nhớ của Apache có vẻ không ổn lắm mà cache
>     trong file tốt hơn (vài năm trước khi tìm giải pháp thì vậy, giờ chắc...
>     cũng vậy), mà nếu cache trong file thì thà dùng nginx làm RP cho khỏe.
> 
> 
> Apache mình đưa ra chỉ là ví dụ, nếu bạn đã dùng Varnish làm reverse
> proxy rồi không cần apache nữa.
> Dùng mod_security để lọc + chặn + log những dạng tấn công dựa vào
> pattern + signature. Nếu không dùng Apache + Mod_security ở mặt ngoài
> nhưng vẫn muốn sử dụng Mod_sec thì đường nhiên phải implement cho riêng
> từ con apache bên trong. Tất nhiên web application của bạn cũng làm tốt
> việc cản lọc những dạng tấn công thông thường (cái này mấy bạn dev làm,
> mình không biết).
> Bản thân Varnish cũng có VCL lọc được một request rất tốt.
> 
>     Hệ thống nó vậy đó. Chưa chạy chính thức nên không có load thực tế để
>     tối ưu. Chỉ làm security thôi. Cấu hình sơ sơ:
> 
>     - Phần cứng: Dell PowerEdge R210, Xeon L3426, 16 GB RAM, 2x 2 TB SATA
>     RAID1 hard (H200).
>     - HĐH: Debian Squeeze + OpenVZ, các VE cũng chạy Debian Squeeze với
>     template minimal.
>      - HN chỉ chạy ssh.
>      - vm1 1 GB chạy Apache+PHP, vm2 2 GB chạy Apache+PHP, vm3 768 MB chạy
>     Apache (vm3 chỉ có nội dung static). Đều chạy Apache hết vì hơn 99%
>     request do RP hứng hết rồi, không vào tới Apache, cả nội dung động nhưng
>     người dùng không đăng nhập thì cũng cache ngay ở RP.
>      - vm11 10 GB chạy MySQL (shared unix socket cho các vm chạy Apache),
>     vm12 2 GB chạy Varnish
>     - Mạng ở HN: forward cổng 80 đến vm12, forward một vài cổng đến ssh các
>     VM chạy Apache (vì mình cũng muốn trao quyền cập nhật nội dung trên vm1
>     cho người khác). Chuyện tắt ssh auth bằng password không cần thiết lắm
>     (có thể thay đổi nếu có bất thường trong log).
> 
> 
> Như trên. 
> 
>     Chuyện tắt ssh auth bằng password không cần thiết lắm
>     (có thể thay đổi nếu có bất thường trong log).
> 
> Lúc này đã muộn rồi.
> 
> 2011/9/6 Nguyễn Hải Nam <[email protected] <mailto:[email protected]>>
> 
>     Le 06/09/2011 11:00, Hung Nguyen a écrit :
>     >
>     > Về phương diện DDOS thì trong trường hợp bình thường, lúc chưa bị tấn
>     > công, thì nghiên về optimization hơn là security. Vì bạn đã làm việc ở
>     > phía server side cũng khá lâu rồi nên chắc bạn đồng ý với mình. Mà
>     > optimize ra sao thì phụ thuộc vào website có content gì, bạn allocate
>     > bao nhiêu resource cho VE, quản lí VE thế nào, optimize hệ thống host
>     > node  + VE ra sao...blah blah nên bạn thuê luôn ông Ky Anh về ổng
>     làm cho.
> 
>     Việc optimisation thì có lẽ mình tự giải quyết được, làm từ từ... Nhờ
>     người làm miễn phí thì ngại (vì cái startup này là commercial), còn trả
>     tiền thì lại không có :p
> 
>     > Bản thân Mod_Security xây dựng để đáp ứng nhu cầu của bạn còn gì?
>     > Còn nếu bạn muốn tìm giải pháp thay thế SELinux thì apparmor có
>     support
>     > Debian nhưng yêu cầu vá nhân thì phải. Thật ra mình không biết xài cả
>     > apparmor và SELinux.
> 
>     mod_security dùng trên Apache thôi (mình cũng chưa coi kĩ). Mà mình
>     không muốn dùng Apache làm reverse proxy. Thích Varnish hơn, dễ cấu hình
>     hơn. Với lại cache trong bộ nhớ của Apache có vẻ không ổn lắm mà cache
>     trong file tốt hơn (vài năm trước khi tìm giải pháp thì vậy, giờ chắc...
>     cũng vậy), mà nếu cache trong file thì thà dùng nginx làm RP cho khỏe.
> 
>     > Mình không thể đưa ra cho bạn vài cái best practices nếu bạn không cho
>     > mình "đụng" vào hệ thống, mà ai cũng vậy thôi. Câu hỏi này không
>     có lời
>     > đáp :-).
>     >
> 
>     Hệ thống nó vậy đó. Chưa chạy chính thức nên không có load thực tế để
>     tối ưu. Chỉ làm security thôi. Cấu hình sơ sơ:
> 
>     - Phần cứng: Dell PowerEdge R210, Xeon L3426, 16 GB RAM, 2x 2 TB SATA
>     RAID1 hard (H200).
>     - HĐH: Debian Squeeze + OpenVZ, các VE cũng chạy Debian Squeeze với
>     template minimal.
>      - HN chỉ chạy ssh.
>      - vm1 1 GB chạy Apache+PHP, vm2 2 GB chạy Apache+PHP, vm3 768 MB chạy
>     Apache (vm3 chỉ có nội dung static). Đều chạy Apache hết vì hơn 99%
>     request do RP hứng hết rồi, không vào tới Apache, cả nội dung động nhưng
>     người dùng không đăng nhập thì cũng cache ngay ở RP.
>      - vm11 10 GB chạy MySQL (shared unix socket cho các vm chạy Apache),
>     vm12 2 GB chạy Varnish
>     - Mạng ở HN: forward cổng 80 đến vm12, forward một vài cổng đến ssh các
>     VM chạy Apache (vì mình cũng muốn trao quyền cập nhật nội dung trên vm1
>     cho người khác). Chuyện tắt ssh auth bằng password không cần thiết lắm
>     (có thể thay đổi nếu có bất thường trong log).
> 
>     Bạn cần "đụng" chỗ nào nữa không ;-)
> 
>     --
>     Nguyễn Hải Nam
> 
>     Thông tin công nghệ http://www.thongtincongnghe.com/
> 
>     --
>     You received this message because you're subscribed to the mailing
>     list "Saigon GNU/Linux User Group".
>     List Address: [email protected]
>     <mailto:[email protected]>  || List Archive:
>     http://groups.google.com/group/saigonlug
>     To unsubscribe from this group, send email to
>     <[email protected]
>     <mailto:saigonlug%[email protected]>>
> 
> 
> 
> 
> -- 
> ---
> hungnv
> 
> -- 
> You received this message because you're subscribed to the mailing list
> "Saigon GNU/Linux User Group".
> List Address: [email protected] || List Archive:
> http://groups.google.com/group/saigonlug
> To unsubscribe from this group, send email to
> <[email protected]>


-- 
Nguyễn Hải Nam

Thông tin công nghệ http://www.thongtincongnghe.com/