Přihlášení | Registrace

napište » Zprávičky

dnes 11:00 | Nová verze

Curl, řádkový nástroj a knihovna pro přenos dat po různých protokolech, slaví 25 let. Vydána byla nová verze 8.0.0. Mimo jiné řeší 6 zranitelností.

Ladislav Hagara | Komentářů: 0

Arduino Day 2023

dnes 10:00 | Komunita

V sobotu 25. března proběhne Arduino Day 2023. Od 14:00 lze sledovat oficiální stream. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.

Ladislav Hagara | Komentářů: 0

Fabrice Bellard představil TextSynth Server

dnes 09:00 | Zajímavý projekt

Fabrice Bellard, tvůrce FFmpeg nebo QEMU, představil TextSynth Server. Jedná se o webový server nabízející REST API k velkým AI jazykovým modelům. CPU verze je k dispozici zdarma jako binárka pod licencí MIT. GPU verze je komerční. Vyzkoušet lze na stránkách TextSynth.

Ladislav Hagara | Komentářů: 0

2023 Free Software Awards

dnes 08:00 | Komunita

Na konferenci LibrePlanet 2023 byly vyhlášeny ceny Free Software Foundation. Oceněni byli Eli Zaretskii za dlouhodobé příspěvky (správce Emacsu), Tad „SkewedZeppelin“ za nové příspěvky (správce DivestOS, distribuce Androidu) a projekt GNU Jami za společenský přínos.

Fluttershy, yay! | Komentářů: 0

Libreboot 20230319

dnes 07:00 | Nová verze

Projekt Libreboot (Wikipedie) vydal novou verzi 20230319 svého svobodného firmwaru nahrazujícího proprietární BIOSy. Přibyla například podpora Lenovo ThinkPadů W530 a T530. Libreboot je distribucí Corebootu bez proprietárních blobů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z konference SCALE 20x. Ken Thompson přechází na Linux

včera 17:55 | Komunita

Na YouTube jsou k dispozici videozáznamy z 20. konference SCALE (Southern California Linux Expo). Závěrečnou přednášku měl dnes již osmdesátiletý Ken Thompson. Na otázku, jaký operační systém používá, odpověděl: "Většinu svého života jsem používal Apple, protože jsem se do této společnosti tak trochu narodil. Poslední dobou, myslím posledních pět let, jsem ale kvůli Applu více a více depresivní. To, co dělá s něčím, co by vám mělo umožnit

… více »

Ladislav Hagara | Komentářů: 3

SystemRescue 10.00

včera 16:44 | Nová verze

Byla vydána verze 10.00 linuxové distribuce SystemRescue, původně SystemRescueCd, určené pro záchranu systémů a dat. Přehled novinek v changelogu. Linux byl povýšen na verzi 6.1.20.

Ladislav Hagara | Komentářů: 0

LLVM 16.0.0

18.3. 11:33 | Nová verze

Byla vydána verze 16.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools, Libc++ a Polly.

Ladislav Hagara | Komentářů: 0

LibrePlanet 2023

17.3. 09:00 | Komunita

O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2023 organizovaná nadací Free Software Foundation (FSF).

Ladislav Hagara | Komentářů: 0

Open source notebook MNT Pocket Reform na Crowd Supply

17.3. 08:00 | IT novinky

Na Crowd Supply běží kampaň na podporu open source notebooku MNT Pocket Reform od společnosti MNT Research. Notebook má mechanickou klávesnici s RGB podsvícením a 7 palcový displej s rozlišením 1920×1200 pixelů. Cena začíná na 899 dolarech. Před třemi lety proběhla úspěšná kampaň na podporu notebooku MNT Reform.

Ladislav Hagara | Komentářů: 12

Centrum | Napsat | Starší

navrhněte » Anketa

Používáte WSL (Windows Subsystem for Linux)?

ne, nepoužívám Windows (73%)

ne, používám Windows, ale jiný přístup k Linuxu (ve VM, vzdáleně,…) (13%)

ano, ale vyhýbám se mu, pokud to jde (4%)

ano, WSL upřednostňuji (10%)

Celkem 263 hlasů

Komentářů: 1, poslední 6.3. 07:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Unixová poradna / Apache - ochrana před DDOS

Štítky: Apache, Google, Chrome, Internet, Joomla, problém, server, web

Dotaz: Apache - ochrana před DDOS

22.4.2010 18:20 Genunix | skóre: 17 | blog: Memdump
Apache - ochrana před DDOS

Přečteno: 3209×

Odpovědět | Admin

Zdravím,
Poslední dobou řeším problém s DDOS útoky na můj Apache server. Končí zaswapováním systému a nedostupností veškerých služeb.
Přitom k tomu stačí jen prohlížeč Google Chrome (zdá se, že s jinými to nejde), zajít na web s Joomlou (na žádném jiném z hostovaných webů mimo těch s Joomlou to nejde, u Joomly funguje už po čisté instalaci) a podržet ctrl+r ...
Zkoušel jsem mod-evasive, ale problém nevyřešil. Přestat používat Joomlu nepovažuji za uspokojivé řešení.

Neřešil jste už někdy někdo něco podobného? Považuji to za dost závažný problém pro všechny webservery s hostovanými weby, postavenými na Joomla.

*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

Nástroje: Začni sledovat (1) ?

Odpovědi

22.4.2010 18:39 Ondřej Kopka | skóre: 20 | blog: ondrejk
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Jaka je konfigurace toho stroje/apache? Zda se mi docela podivne ze by to shodil jeden prohlizec.

22.4.2010 19:17 Genunix | skóre: 17 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Přílohy:

apache2.conf (10103 bytů)
vhost.conf (707 bytů)

Na výkonu té mašiny ani nezáleží, zkoušel jsem to na několika různě výkonných strojích (resp. nemálo výkonných) a během několika vteřin je to zatížilo natolik, že mi sotva prošel příkaz pkill -9 apache2
Přikládám apache2.conf a ukázku konfigurace virtual hostu.

*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

22.4.2010 23:40 FooBar
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Konfiguruj limity na konekce a vyuzitou pamet tak, aby ke swapovani predevsim nedochazelo. Obzvlast u sluzeb jako je webserver je swapovani vetsinou smrt, a je nutny si uvedomit, ze swap funguje jako safety buffer, ne jako prostor ve kterym se ma fungovat bezne.

23.4.2010 14:11 Genunix | skóre: 17 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Tak taky swap beru, ale pokud bych ho odpojil, dostal by se ke v takové situaci ke slovu pan OOM killer..
Nakonfigurovat limity v limits.conf mi taky nepřijde jako ideální řešení. Pokud je Apache přesáhne, tak ho systém odpojí (alespoň myslím), což taky není žádoucí i v případě, že bych nahodil nějakého watchdoga, který by ho po pádu sám nahazoval. To můžu použít maximálně jako záložní řešení.
Pokud jsi myslel nějaké limity přímo v Apache, tak pokud vím žádné nastavit nelze, nebo se mýlím?

*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

23.4.2010 15:23 FooBar
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Ja ale nerikam "zlikviduj swap", ja rikam "omez vyuziti pameti, ktery vede k vyuziti swapu". Za prve nezminujes jakykoliv nastaveni phpcka, a zaroven bezis Joomlu -- zamer se na memory limit. Za druhe, divokej odhad (u forkovaciho apache) pres palec je, ze:

maximalni vyuziti pameti = (naroky na jeden child proces apache + naroky na dynamickej jazyk) * max clients

Naroky na jeden child proces apache jsou naprosto jasna konstanta (kterou si snadno zmeris), muzes hejbat max clients (ponevadz je proste snizis v zavislosti na tom, ze si uvedomis, ze mas omezeny prostredky) a muzes hejbat narokama na dynamickej jazyk (coz v pripade php znamena memory limit). Hrubym cilem je, aby vysledek vypoctu nebyl vyssi nez kolik mas pameti minus kolik pameti mas volny bez beziciho apache.

(Velkej disclaimer, tohle je opravdu divokej odhad pres palec, neber to jako autoritativni, ber to jako moznost prvotniho odhadu).

Za treti, v zavislosti na tom co jeste tam behas te muze anebo nemusi zajimat RLimitMEM. Vzhledem k tomu, ze zminujes Joomlu, te ale spis asi zajimat nebude. Jinak mas pravdu, neni zadnej rozumnej zpusob jak hardcapnout per-worker-process vyuziti pameti (ackoliv vyhradne pro forkovaci MPM to je v podstate trivialni dobastlit).

27.4.2010 23:36 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

limity mas primov konfiguraku apache, koukni se na radky 102 - 108. Predpokladam, ze pouzivas mpm prefork, jak je to na debianu v kombinaci s phpkem bezne.

Talking about music is like dancing to architecture.

23.4.2010 23:48 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Jako celkem jednoduché a efektivní řešení bych doporučil nakonfigurovat Apache, aby používal PHP přes FastCGI. Ne jako modul.

U mod_fcgid jde nakonfigurovat, kolik php procesů může jeden virtualhost max. spustit (zjednodušeně řečeno). Neomezí se tedy přímo spotřebovaná paměť (de facto je omezena na počet_procesů×php_memory_limit), ale jde snadno otestovat, kolik procesů server "unese" a podle toho nastavit limit.

K poklesu výkonu téměř nedojde (to mám celkem dobře otestováno). Dost možná se ušetří nějaká paměť, protože pro obsluhu požadavků na statický obsah nebude muset mít Apache v paměti PHP modul (spíš se to projeví u mpm_prefork). Jinak používat mod_php + mpm_worker není moc dobrý nápad, protože PHP není tak úplně thread-safe (samozřejmě pokud se na to u všech aplikací myslí, může to být OK).

Pokud na tom serveru bude víc webů, tak fastcgi+suexec ti poskytne i větší zabezpečení - lze ty weby oddělit tak, že php běží pod různými uživateli.

Návod třeba tady: http://blog.milde.cz/post/234-php-jako-fastcgi-pod-apachem/

V tom návodu není popsán suexec, ale o tom se dá případně najít několik diskusí tady v poradně.

24.4.2010 07:50 Genunix | skóre: 17 | blog: Memdump
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Děkuji za rady. Zkusím "migrovat" na FastCGI a pohrát si s jeho nastavením. Pak dám vědět, jestli to pomohlo.

*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

24.4.2010 19:10 ApoC
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

Nestaci v konfigu nastavit maximalni pocet forknutych instanci Apache na nejakou inteligentni mez?

27.4.2010 19:56 ugh
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

nevim. zkusil bych juknout na mod_tsunami ?

27.4.2010 23:40 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

dobre by bylo rict, co je to za stroj, jesli na tom zeleze bezi i mysql, jestli je ten zrout pameti apache, nebo mysqlka, kolik otevre ten chrobak spojeni atd...

Talking about music is like dancing to architecture.

29.4.2010 16:25 rootless.rooter
Rozbalit Rozbalit vše Re: Apache - ochrana před DDOS

mod_security ?

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje