Comments 16
Неправильно вы, батенька, статью начинаете.
Статью вот как начинать надо.
Или можно сказать: "Тут было описано." Или: «О том, что это такое, можно почитать в интернете.»
Статью вот как начинать надо.
Или можно сказать: "Тут было описано." Или: «О том, что это такое, можно почитать в интернете.»
Забыли дать ссылку, где рассказывается, что за Apache имелся ввиду. Так же пропущены ссылки с разъяснениями о настройке sendmail и postfix, что такое IP адрес, какая Ubuntu сейчас актуальна, DDOS, режим SERVER_BUSY_WRITE. Если уж викифицировать статью, так викифицировать, а гугл еще не закрыли.
Точняк. Но, на самом деле, вы очень сильно запамятовали, когда не дали ссыки на толковый словарь и как-то мы с вами забыли упомянуть азбуку.
А по факту, всему есть предел.
Просто если пишешь статью про хрюмзиков, хорошо дать ссылку на хрюмзиков. Не то, чтобы я не нагуглю, но просто из приличия.
А по факту, всему есть предел.
Просто если пишешь статью про хрюмзиков, хорошо дать ссылку на хрюмзиков. Не то, чтобы я не нагуглю, но просто из приличия.
Я бы сделал apt-get install nginx, настроил проксирование и забыл бы о проблеме.
Nginx тоже надо настраивать, т.к. в стандартной конфигурации он тоже подвержен атаке медленного чтения. По крайней мере, на другом сервере сейчас стоит связка nginx + apache, правда под win. Nginx тоже падает, хотя и не так быстро, как apache.
> т.к. в стандартной конфигурации он тоже подвержен атаке медленного чтения
А можно об этом по-подробнее?
А можно об этом по-подробнее?
Пока толком не разбирался в настройке, но если запустить агрессивно настроенный slowhttp против ngnix в стандартной конфигурации, то сервер перестает отвечать на запросы, а в логи пишется, что не хватает worker_connections. Изначально прописано значение 1024. Если ставить значение больше — начинает писать, что максимально разрешенное количество дескрипторов — 1024. Увеличение worker_processes тоже не дало желаемого результата. Если найду хорошее решение и оно будет достойно отдельной статьи — напишу, как настраивал защиту на nginx.
Если ставить значение больше — начинает писать, что максимально разрешенное количество дескрипторов — 1024
Увеличение worker_processes тоже не дало желаемого результата.
Разумеется! Смотрим: nginx.org/ru/docs/windows.html#known_issues
Да и плевать. nginx для того и нужен, чтобы разбираться с неприятностями, ибо он асинхронный и отлично держит множество медленных клиентов. Смысл установки nginx в том, что он лично с апача заберет контент быстро. Т.е. апач не увидит медленных клиентов.
nginx/Windows != nginx
Для nginx под никсами данная атака не представляет проблемы.
Для nginx под никсами данная атака не представляет проблемы.
Статья написана о защите Apache, а не возможностях ngnix, и в ней рассмотрено лишь одно из доступных решений. О том, что можно сделать и другими способами — никто не спорит.
С другой стороны, modsecurity с базовым набором правил так же предусматривает защиту от SQL инъекций, XSS, локального и удаленного инклуда + имеет наборы правил для различных фреймворков и CMS. Обычным apt-get install nginx такого Вы не добьетесь. Конечно, если хостится только свой код, надежность которого сомнений вызывает немного, то это излишки.
С другой стороны, modsecurity с базовым набором правил так же предусматривает защиту от SQL инъекций, XSS, локального и удаленного инклуда + имеет наборы правил для различных фреймворков и CMS. Обычным apt-get install nginx такого Вы не добьетесь. Конечно, если хостится только свой код, надежность которого сомнений вызывает немного, то это излишки.
С другой стороны, modsecurity с базовым набором правил так же предусматривает защиту от SQL инъекций, XSS, локального и удаленного инклуда + имеет наборы правил для различных фреймворков и CMS. Обычным apt-get install nginx такого Вы не добьетесь.Обычным
apt-get install apache, насколько я понимаю, тоже.
Для 32-битной версии Ubuntu настройка на этом заканчивается.
В x64 нужно произвести еще одно действие — в файле /etc/apache2/mods-enabled/mod-security.load нужно заменить путь, по которому расположена подключаемая библиотека с /usr/lib/ на /usr/lib/x86_64-linux-gnu/.
У меня в Ubunt 12.04 x64 путь к библиотеке /usr/lib/i386-linux-gnu/libxml2.so.2
Ваша Ubuntu ставилась как 12.04 или обновлялась с предыдущего релиза?
И тот, и другой пути возможны с точки зрения multiarch.
Проблема с расположением библиотеки — это баг, связанный с отсутствием адаптации modsecurity к мультиархитектурной версии libxml. Судя по всему, его планируют исправить к 12.04.1.
И тот, и другой пути возможны с точки зрения multiarch.
Проблема с расположением библиотеки — это баг, связанный с отсутствием адаптации modsecurity к мультиархитектурной версии libxml. Судя по всему, его планируют исправить к 12.04.1.
Sign up to leave a comment.
Защита веб-сервера Apache от атаки медленного чтения, а так же некоторых других направленных атак