Не соглашусь. Мало где шаред хостинг завязан на центральную СХД — дешевле локальные диски в софтмиррор собрать, да бэкапить периодически. Юзерам для фпт/ssh доступа выдается IP конечного физического сервера. Централизованным у хостинга остается лишь сеть (и да, «поднимать» ее куда проще, хотя пример Яндекса и говорит об обратном)
Если нужна избыточность данных на ноде, то использование софтвартного миррора (md) никто не отменял. Но вот зачем? Проще неизбыточных нод поставить избыточное количество (и это не 2*N как в случае с миррором) — дешевле выйдет. ZFS сильно прожорлив особенно по памяти, в случае с glusterfs можно обойтись достаточно дешевыми машинами с минимумом памяти.
Тонкая настройка != допиливание исходного кода. Одно дело крутить ручки, которые поддержка рекомендует крутить в этом конкретном случае (это если продукт не пионерский, и у него есть нормальная поддержка), а другое дело разбираться в тонкостях организации файловой системы, читать сорцы, и находить нужные настройки (хорошо, если они не в виде #define). Второй подход конечно тоже имеет право на существование, но не в энтерпрайзе.
Вы путаете разные атаки. Для slow lori заголовок Range не нужен. А кардинально проблема решается установкой nginx до/вместо Apache. Ну или костылями разными модулями, ограничивающими количество соединений с одного адреса, минимальную скорость и тп.
Урл для AJAX запроса часто генерируется приложением, а не определяется в JS из текущей схемы и адреса. В таком случае приложение определяет схему исходя из переменных, переданных ему веб сервером. Ну и если внутри страницы, запрошенной браузером через https, делается запрос к http, то JS возвратит ошибку. Указанный вариант обманывает приложение, говоря что схема запроса — HTTPS.
Много ли вы слышали про задержания тех, кто использовал средства спецсвязи (которые, впрочем, также перехватываются спецслужбами)? Сейчас многих «террористов» (хотя это скорее всего просто радикалы, которых спровоцировали те же спецслужбы, но не об этом речь) ловят при общении через irc, facebook и прочие, вполне обычные, каналы связи. В этой связи автоматический анализ таких каналов куда эффективней по части количества случаев обнаружения (ясно что настоящие шпионы воспользуются чем-то более подходящим). И уж куда проще индексировать почту на жестких дисках гугла, чем анализ проходящих по многогигабитным каналам потоков данных.
Что-то вы поздно проснулись, Нео ;) Банальный Gmail куда дешевле Эшелона в обслуживании, да еще и деньги приносит за счет свехрточного таргетирования рекламы. Если у гугла еще нет алгоритмов «как из почтового ящика сделать харакетристику пользователя», то скоро будут. «Зачем удалять почту? Ведь есть X гигабайт почтового ящика!» (с) gmail
Ну в про лицокниги и прочие находки для шпиона и говорить не стоит.
Брэндовый стоечный сервер с таким количеством памяти будет и стоить соответственно, кто ж его за бесценок в аренду отдаст? Ясно, что для некоторого рода задач «десктопные» сервера подходят лучше, но мне например для целей хостинга вполне хватает и 4 гигов памяти
Поделюсь полезным знанием, как не прибегая к Lua и mod_sub заставить счастливо жить фронтэнд на nginx и бэкенд на Tomcat (в данном случае с jira)
Nginx слушает на порту 443 (https) и проксирует на порт 8080 к Tomcat'у. Чтобы приложение (Jira) не думало себе лишнего о том, на каком оно хостнэйме и порту живет, прописываем в конфиге Tomcat
<Connector port="8080"
...
scheme="https" secure="false"
proxyName="frontend.host.name.here" proxyPort="443"
...
Нынешние, _хорошие_ специалисты по ИБ не учились этой специальности в университетах, потому что тогда такой специальности просто не было в принципе. Чтобы противостоять на должном уровне взломщику, нужно знать не меньше него по части того, как именно надо _ломать_. Где, вы говорите, есть фундаментальные знания по этому вопросу, может Русинович где лекции читает?
Кстати большая часть вирусных аналитиков в известных конторах — бывшие (?) хакеры (правильнее их называть реверсерами), некоторые были весьма известны в узких кругах. При этом они ВСЕ — самоучки.
Вы, наверное, удивитесь, узнав чем занимаются специалисты по безопасности в энтерпрайзе… Выбором антивирусов, например, или вот политикой обязятельной смены паролей. Такие вот люди востребованы. А добрые кевины митники пишут книжки и консультируют особо интересующихся, коих, замечу, совсем немного.
Вы много видели книг типа «Как написать загрузочный вирус с запуском операционной системы в виртуальной ммашине»? А для white hat такого рода сведения нужны, но увы, им не учат в университетых
ДДоС на HTTP как правило не старается прогрузить входящий канал, чтобы не отсвечивать лишний раз, да и ресурсы лишние не задействовать. Хотя это от ботнета зависит, есть те, кто и гигабит входящего трафика организует (тут были топики).
А 10 тысяч машин как правило не принимают участие в атаке одновременно (большая часть ботнета — домашние компы в разных частях света) одновременно работает процентов 5-10 от общего числа. И да, 10.000 машин, которые заблокированы файрволлом и долбятся все сразу два раза в секунду своими SYN пакетами дают ровно 100 мбит (на считая оверхеда на ethernet). Но в случае атаки стотысячного ботнета одним сервером со 100 мбитами не спасёшься, это очевидно.
Ботнеты не так тупы, как кажется. И если ботнет не ходит по редиректам, это не значит что он не умеет — просто операторы ботнета не поставили нужную галочку. Тоже видимо касается и кук (хотя именно куки я не проверял), а вот отпарсить страницу чтобы найти в ней JS-редирект — на это у ботнетов ума обычно не хватает
Для ключей SSH, помимо ограничения по адресам, есть еще и forced command, которая может принимать и валидировать параметры, переданные через STDIN. Это конечно усложнит развертывание (хотя тем, у кого сотни машин не усложнит — они либо автоматизировали такие вещи, либо их уже уволили), однако это более серьёзная мера. Не говоря о том, что получать привилегии рута можно только на определенные действия, через тот же sudo
Как раз в 2000х годах из дистрибутива FreeBSD был вычищен перл, и все системные утилиты, его использовавшие, были переписаны на шелл или Си. Кому нужен — поставят из пэкэджей или портов; Я бы с радостью еще и питон из минимальной конфигурации CentOS оторвал, но видимо этого никогда не случится.
костылямиразными модулями, ограничивающими количество соединений с одного адреса, минимальную скорость и тп.Ну в про лицокниги и прочие находки для шпиона и говорить не стоит.
zic -l /usr/share/zoneinfo/Europe/Moscow
Nginx слушает на порту 443 (https) и проксирует на порт 8080 к Tomcat'у. Чтобы приложение (Jira) не думало себе лишнего о том, на каком оно хостнэйме и порту живет, прописываем в конфиге Tomcat
<Connector port="8080"
...
scheme="https" secure="false"
proxyName="frontend.host.name.here" proxyPort="443"
...
и проблемы с ajax вас не будут беспокоить
Вы много видели книг типа «Как написать загрузочный вирус с запуском операционной системы в виртуальной ммашине»? А для white hat такого рода сведения нужны, но увы, им не учат в университетых
А 10 тысяч машин как правило не принимают участие в атаке одновременно (большая часть ботнета — домашние компы в разных частях света) одновременно работает процентов 5-10 от общего числа. И да, 10.000 машин, которые заблокированы файрволлом и долбятся все сразу два раза в секунду своими SYN пакетами дают ровно 100 мбит (на считая оверхеда на ethernet). Но в случае атаки стотысячного ботнета одним сервером со 100 мбитами не спасёшься, это очевидно.