abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 1
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 4
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 792 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Apache - ochrana před DDOS

Genunix avatar 22.4.2010 18:20 Genunix | skóre: 16 | blog: Memdump
Apache - ochrana před DDOS
Přečteno: 3153×
Zdravím,
Poslední dobou řeším problém s DDOS útoky na můj Apache server. Končí zaswapováním systému a nedostupností veškerých služeb.
Přitom k tomu stačí jen prohlížeč Google Chrome (zdá se, že s jinými to nejde), zajít na web s Joomlou (na žádném jiném z hostovaných webů mimo těch s Joomlou to nejde, u Joomly funguje už po čisté instalaci) a podržet ctrl+r ...
Zkoušel jsem mod-evasive, ale problém nevyřešil. Přestat používat Joomlu nepovažuji za uspokojivé řešení.

Neřešil jste už někdy někdo něco podobného? Považuji to za dost závažný problém pro všechny webservery s hostovanými weby, postavenými na Joomla.
*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

Odpovědi

22.4.2010 18:39 Ondřej Kopka | skóre: 20 | blog: ondrejk
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Jaka je konfigurace toho stroje/apache? Zda se mi docela podivne ze by to shodil jeden prohlizec.
Genunix avatar 22.4.2010 19:17 Genunix | skóre: 16 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Přílohy:
Na výkonu té mašiny ani nezáleží, zkoušel jsem to na několika různě výkonných strojích (resp. nemálo výkonných) a během několika vteřin je to zatížilo natolik, že mi sotva prošel příkaz pkill -9 apache2
Přikládám apache2.conf a ukázku konfigurace virtual hostu.
*´¨`*.¸.·´¨`*.¸.·*´`*·>>>
22.4.2010 23:40 FooBar
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Konfiguruj limity na konekce a vyuzitou pamet tak, aby ke swapovani predevsim nedochazelo. Obzvlast u sluzeb jako je webserver je swapovani vetsinou smrt, a je nutny si uvedomit, ze swap funguje jako safety buffer, ne jako prostor ve kterym se ma fungovat bezne.
Genunix avatar 23.4.2010 14:11 Genunix | skóre: 16 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Tak taky swap beru, ale pokud bych ho odpojil, dostal by se ke v takové situaci ke slovu pan OOM killer..
Nakonfigurovat limity v limits.conf mi taky nepřijde jako ideální řešení. Pokud je Apache přesáhne, tak ho systém odpojí (alespoň myslím), což taky není žádoucí i v případě, že bych nahodil nějakého watchdoga, který by ho po pádu sám nahazoval. To můžu použít maximálně jako záložní řešení.
Pokud jsi myslel nějaké limity přímo v Apache, tak pokud vím žádné nastavit nelze, nebo se mýlím?
*´¨`*.¸.·´¨`*.¸.·*´`*·>>>
23.4.2010 15:23 FooBar
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Ja ale nerikam "zlikviduj swap", ja rikam "omez vyuziti pameti, ktery vede k vyuziti swapu". Za prve nezminujes jakykoliv nastaveni phpcka, a zaroven bezis Joomlu -- zamer se na memory limit. Za druhe, divokej odhad (u forkovaciho apache) pres palec je, ze:

maximalni vyuziti pameti = (naroky na jeden child proces apache + naroky na dynamickej jazyk) * max clients

Naroky na jeden child proces apache jsou naprosto jasna konstanta (kterou si snadno zmeris), muzes hejbat max clients (ponevadz je proste snizis v zavislosti na tom, ze si uvedomis, ze mas omezeny prostredky) a muzes hejbat narokama na dynamickej jazyk (coz v pripade php znamena memory limit). Hrubym cilem je, aby vysledek vypoctu nebyl vyssi nez kolik mas pameti minus kolik pameti mas volny bez beziciho apache.

(Velkej disclaimer, tohle je opravdu divokej odhad pres palec, neber to jako autoritativni, ber to jako moznost prvotniho odhadu).

Za treti, v zavislosti na tom co jeste tam behas te muze anebo nemusi zajimat RLimitMEM. Vzhledem k tomu, ze zminujes Joomlu, te ale spis asi zajimat nebude. Jinak mas pravdu, neni zadnej rozumnej zpusob jak hardcapnout per-worker-process vyuziti pameti (ackoliv vyhradne pro forkovaci MPM to je v podstate trivialni dobastlit).
frEon avatar 27.4.2010 23:36 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
limity mas primov konfiguraku apache, koukni se na radky 102 - 108. Predpokladam, ze pouzivas mpm prefork, jak je to na debianu v kombinaci s phpkem bezne.
Talking about music is like dancing to architecture.
23.4.2010 23:48 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Jako celkem jednoduché a efektivní řešení bych doporučil nakonfigurovat Apache, aby používal PHP přes FastCGI. Ne jako modul.

U mod_fcgid jde nakonfigurovat, kolik php procesů může jeden virtualhost max. spustit (zjednodušeně řečeno). Neomezí se tedy přímo spotřebovaná paměť (de facto je omezena na počet_procesů×php_memory_limit), ale jde snadno otestovat, kolik procesů server "unese" a podle toho nastavit limit.

K poklesu výkonu téměř nedojde (to mám celkem dobře otestováno). Dost možná se ušetří nějaká paměť, protože pro obsluhu požadavků na statický obsah nebude muset mít Apache v paměti PHP modul (spíš se to projeví u mpm_prefork). Jinak používat mod_php + mpm_worker není moc dobrý nápad, protože PHP není tak úplně thread-safe (samozřejmě pokud se na to u všech aplikací myslí, může to být OK).

Pokud na tom serveru bude víc webů, tak fastcgi+suexec ti poskytne i větší zabezpečení - lze ty weby oddělit tak, že php běží pod různými uživateli.

Návod třeba tady: http://blog.milde.cz/post/234-php-jako-fastcgi-pod-apachem/

V tom návodu není popsán suexec, ale o tom se dá případně najít několik diskusí tady v poradně.
Genunix avatar 24.4.2010 07:50 Genunix | skóre: 16 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Děkuji za rady. Zkusím "migrovat" na FastCGI a pohrát si s jeho nastavením. Pak dám vědět, jestli to pomohlo.
*´¨`*.¸.·´¨`*.¸.·*´`*·>>>
24.4.2010 19:10 ApoC
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
Nestaci v konfigu nastavit maximalni pocet forknutych instanci Apache na nejakou inteligentni mez?
27.4.2010 19:56 ugh
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
nevim. zkusil bych juknout na mod_tsunami ?
frEon avatar 27.4.2010 23:40 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
dobre by bylo rict, co je to za stroj, jesli na tom zeleze bezi i mysql, jestli je ten zrout pameti apache, nebo mysqlka, kolik otevre ten chrobak spojeni atd...
Talking about music is like dancing to architecture.
29.4.2010 16:25 rootless.rooter
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS
mod_security ?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.