Comments 8
Присоединяюсь к благодарностям.
Несколько лет назад мигрировали с apache на nginx на наших серверах после одного DDOS, под которым apache сжирал процессор и память на 100%. Тогда куча ботов отправляли GET запрос на 80 порт, apache должен был просто c помощью mod_rewrite переправлять на 443 порт. Отключили apache на 80 порту и поставили на этот порт nginx. В результате, под такой же нагрузкой nginx использовал всего 2% CPU!
Но были у нас сервера с apache, где требовался mod_security, особенно в зонах PCI DSS Level 1.
У тут несколько недель назад узнали, что в mod_security в экспериментальной ветке появилась поддержка mod_security. Не выдержали. Стали пробовать. nginx с mod_security падал. Стали править код mod_security, особенно модуль для nginx. И когда все заработало и ошибок при тестировани не наблюдалось — было решено использовать на production. Как раз в это время был аудит одной из зон с PCI DSS Level 1. Аудитору из acertigo очень понравилось это решение, несмотря на экспериментальный статус.
Кстати, до вчерашнего дня модуль modsecurity для nginx из trunk был нерабочим.
Несколько лет назад мигрировали с apache на nginx на наших серверах после одного DDOS, под которым apache сжирал процессор и память на 100%. Тогда куча ботов отправляли GET запрос на 80 порт, apache должен был просто c помощью mod_rewrite переправлять на 443 порт. Отключили apache на 80 порту и поставили на этот порт nginx. В результате, под такой же нагрузкой nginx использовал всего 2% CPU!
Но были у нас сервера с apache, где требовался mod_security, особенно в зонах PCI DSS Level 1.
У тут несколько недель назад узнали, что в mod_security в экспериментальной ветке появилась поддержка mod_security. Не выдержали. Стали пробовать. nginx с mod_security падал. Стали править код mod_security, особенно модуль для nginx. И когда все заработало и ошибок при тестировани не наблюдалось — было решено использовать на production. Как раз в это время был аудит одной из зон с PCI DSS Level 1. Аудитору из acertigo очень понравилось это решение, несмотря на экспериментальный статус.
Кстати, до вчерашнего дня модуль modsecurity для nginx из trunk был нерабочим.
UFO just landed and posted this here
Блин лучше бы реврайт правила от апача прикрутили бы
Кто использовал naxsi и modsecurity, поделитесь впечатлениями, что удобеней. В проде используем naxsi.
Sign up to leave a comment.
Бета-версия modSecurity для Nginx